Trong kỷ nguyên số, bộ lọc spam đã trở thành lá chắn quan trọng giúp chúng ta tránh xa hàng tỷ email độc hại. Tuy nhiên, không có hệ thống bảo mật nào là hoàn hảo tuyệt đối. Mới đây, các chuyên gia an ninh mạng đã cảnh báo về một kỹ thuật tấn công mới đầy tinh vi mang tên “email salting”, có khả năng khiến ngay cả những bộ lọc spam tiên tiến nhất cũng bị đánh lừa, đưa email lừa đảo trực tiếp vào hộp thư đến của bạn. Đây là lý do vì sao người dùng cần luôn cảnh giác cao độ khi mở bất kỳ email nào, dù nó đã vượt qua được hàng rào an ninh.
Email Salting Hoạt Động Như Thế Nào Để Qua Mặt Bộ Lọc Spam?
Theo báo cáo từ Cisco Talos, các cuộc tấn công email salting cho phép kẻ gian lận lén lút đưa email của chúng vượt qua các bộ lọc spam và đến thẳng hộp thư của người nhận. Cơ chế hoạt động của kỹ thuật này là thêm các “văn bản rác” hoặc “ký tự gây nhiễu” vào mã HTML của email. Các văn bản rác này có tác dụng gây nhầm lẫn cho công cụ kiểm tra spam, trong khi người đọc thông thường không hề nhìn thấy chúng.
Khi một bộ lọc spam kiểm tra email, nó sẽ phân tích kỹ lưỡng mã HTML bên trong để nhận diện các từ khóa, cấu trúc hoặc dấu hiệu bất thường. Người đọc chúng ta không thấy mã HTML; thay vào đó, trình duyệt email của bạn sẽ chuyển đổi mã này thành nội dung hiển thị dễ đọc.
Ví dụ về việc thêm văn bản ẩn để vượt qua bộ lọc spam trong tấn công email salting
Email salting hoạt động bằng cách chèn các ký tự rác vào giữa các từ, phá vỡ cấu trúc từ mà bộ lọc spam có thể nhận diện. Bằng cách này, bộ lọc spam sẽ không “thấy” được nội dung thực sự mà kẻ lừa đảo muốn truyền tải. Tuy nhiên, kẻ tấn công sử dụng các thủ thuật tinh vi để đảm bảo rằng văn bản rác này không hiển thị khi bạn đọc email, chỉ để lại những từ mà chúng muốn bạn thấy.
Cisco Talos đã phát hiện một ví dụ điển hình: Trong một email, kẻ lừa đảo muốn giả mạo ngân hàng Wells Fargo. Nếu chúng chỉ đơn thuần viết “Wells Fargo”, bộ lọc spam sẽ dễ dàng phát hiện và chặn email đó. Thay vào đó, chúng đã chèn các ký tự rác vào giữa các từ “Wells” và “Fargo”, sau đó thiết lập các ký tự bổ sung này có độ rộng bằng không (zero width).
Khi bộ lọc spam quét email đó, nó sẽ đọc được chuỗi ký tự như sau:
WEqcvuilLLS FAroyawdRGONhưng bởi vì các ký tự rác được chèn vào có độ rộng bằng không, chúng không hiển thị khi bạn đọc email, để lại cho bạn một thông điệp hoàn chỉnh và tưởng chừng như vô hại:
WELLS FARGOChỉ với thủ thuật đơn giản này, kẻ lừa đảo đã có thể giả mạo Wells Fargo mà không bị bộ lọc spam phát hiện.
Một ví dụ khác liên quan đến việc kẻ tấn công chèn các ký tự đặc biệt như Zero-Width Space (ZWSP) và Zero-Width Non-Joiner (ZWNJ) vào giữa mỗi chữ cái trong một từ. Vì chúng là các ký tự, bộ lọc spam vẫn sẽ đọc chúng khi đánh giá một email có phải là spam hay không. Tuy nhiên, do các ký tự này không chiếm không gian hiển thị, chúng không xuất hiện khi email được render, nghĩa là bạn vẫn thấy từ đó nguyên vẹn mà không có bất kỳ khoảng trống hay gián đoạn nào.
Luôn Cảnh Giác: Dù Qua Được Bộ Lọc Spam, Email Vẫn Có Thể Là Lừa Đảo
Những ví dụ trên là minh chứng rõ ràng cho việc bạn không bao giờ nên tin tưởng mù quáng vào một email, ngay cả khi nó đã lọt qua được bộ lọc spam và xuất hiện trong hộp thư đến của bạn. Các kỹ thuật tấn công ngày càng tinh vi đòi hỏi người dùng phải luôn giữ thái độ cảnh giác.
Trước khi nhấp vào bất kỳ liên kết đáng ngờ nào hoặc thực hiện hành động theo yêu cầu của email, hãy luôn kiểm tra kỹ lưỡng người gửi và nội dung email. Luôn xác minh tính xác thực của thông tin thông qua các kênh chính thức khác (ví dụ: truy cập trực tiếp website của tổ chức thay vì nhấp vào liên kết trong email). Nâng cao kiến thức về các dấu hiệu của email lừa đảo (phishing) là cách tốt nhất để tự bảo vệ mình khỏi những mối đe dọa trực tuyến ngày càng phức tạp này.
Tài liệu tham khảo
- Cisco Talos: https://blog.talosintelligence.com/seasoning-email-threats-with-hidden-text-salting/
- MakeUseOf: https://www.makeuseof.com/tag/5-examples-help-spot-fraud-fake-email/
