Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) tinh vi mới, được thiết kế để đánh cắp dữ liệu, thông tin đăng nhập và nhiều hơn thế nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra này, nhắm vào người dùng và các tổ chức khách sạn trên toàn cầu. Mặc dù có những dấu hiệu nhận biết, nhưng mức độ tinh vi của nó đòi hỏi sự cảnh giác cao độ từ cộng đồng.
Kỹ Thuật ClickFix: Chiêu Trò Mới Của Kẻ Lừa Đảo Booking.com
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch lừa đảo Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn tiếp tục hoạt động và đang gây thiệt hại cho nhiều nạn nhân từ khắp các quốc gia trên thế giới. Chiến dịch này sử dụng một kỹ thuật kỹ thuật xã hội được gọi là ClickFix, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi để chạy các lệnh tải xuống phần mềm độc hại. Microsoft cho biết:
“Trong kỹ thuật ClickFix, tác nhân đe dọa cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống phần mềm độc hại.”
Chiến dịch này không quá khác biệt so với các cuộc tấn công phishing thông thường. Nạn nhân nhận được một email trông có vẻ đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi tấn công phishing Booking.com bằng kỹ thuật ClickFix
Tuy nhiên, điểm khác biệt của chiến dịch này là những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống phần mềm độc hại, bạn sẽ được đưa đến một trang CAPTCHA để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ Run của Windows và sau đó nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh này tự động được sao chép vào khay nhớ tạm của bạn khi cửa sổ CAPTCHA xuất hiện, trong khi các hướng dẫn giải thích cách nhấn phím tắt Windows + R để mở cửa sổ Run, dán lệnh bằng phím tắt Ctrl + V, và cuối cùng chạy nó bằng cách nhấn Enter. Hơn nữa, sự cần thiết của tương tác người dùng này đảm bảo rằng phần mềm độc hại có thể né tránh các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Giao diện CAPTCHA giả mạo yêu cầu chạy lệnh trong chiến dịch lừa đảo Booking.com
Lệnh này tải xuống và chạy phần mềm độc hại chính – loại phần mềm có thể đánh cắp dữ liệu tài chính và thông tin đăng nhập. Phần mềm này chứa nhiều họ mã độc, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Bảo Vệ Bản Thân Trước Chiêu Trò Lừa Đảo Booking.com Tinh Vi
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo phishing. Một vụ lừa đảo Telekopye khác nhắm vào Booking.com, cũng trong năm 2024, đã lừa hàng nghìn du khách không nghi ngờ.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không đến từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và tiến hành giải quyết vấn đề của mình bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán phần mềm độc hại cũng không phải là điều mới. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA đang yêu cầu bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, bạn đang ở trên một trang web độc hại.
Kết Luận
Chiến dịch lừa đảo Booking.com mới sử dụng kỹ thuật ClickFix là một mối đe dọa đáng kể, đòi hỏi người dùng phải nâng cao cảnh giác. Khả năng né tránh các biện pháp bảo mật truyền thống thông qua sự tương tác của người dùng khiến nó trở nên đặc biệt nguy hiểm. Hãy luôn kiểm tra kỹ lưỡng nguồn gốc email, tránh nhấp vào các liên kết đáng ngờ và tuyệt đối không thực hiện bất kỳ lệnh nào được yêu cầu bởi các trang CAPTCHA không rõ ràng. Bảo vệ thông tin cá nhân và tài chính của bạn là ưu tiên hàng đầu trong môi trường trực tuyến đầy rẫy rủi ro hiện nay. Hãy chia sẻ thông tin này để cùng nhau bảo vệ cộng đồng.
