Trong bối cảnh công nghệ phát triển nhanh chóng, các bộ lọc thư rác đã trở thành tuyến phòng thủ đầu tiên, giúp bảo vệ hộp thư đến của bạn khỏi hàng loạt mối đe dọa như lừa đảo, mã độc hay các nội dung độc hại khác. Tuy nhiên, những kẻ lừa đảo luôn không ngừng thích nghi và phát triển các kỹ thuật mới để vượt qua các lớp bảo vệ này. Một trong số đó là kỹ thuật “email salting” – một chiêu trò tinh vi cho phép kẻ tấn công vượt qua hệ thống bảo vệ email, nhưng bạn hoàn toàn có thể trang bị kiến thức để giữ cho hộp thư của mình luôn an toàn. Bài viết này sẽ đi sâu vào cơ chế hoạt động của email salting, homoglyph và cách nhận diện chúng.
Email Salting Là Gì và Hoạt Động Như Thế Nào?
Email salting là một chiến thuật độc hại mà kẻ lừa đảo sử dụng để thao túng nội dung email (phổ biến nhất là làm biến dạng mã HTML gốc) nhằm đánh lừa các bộ lọc thư rác. Khi bạn mở một email, trình duyệt của bạn sẽ dịch mã HTML thành nội dung mà bạn nhìn thấy trên màn hình. Lợi dụng điều này, kẻ lừa đảo có thể chèn các ký tự “rác” vào mã HTML, giúp email vượt qua bộ lọc mà vẫn hiển thị văn bản bình thường cho người đọc.
Một ví dụ điển hình là việc chèn các ký tự không hiển thị (zero-width space và zero-width non-joiner characters) vào mã HTML. Nói một cách đơn giản, một từ vốn có thể kích hoạt bộ lọc thư rác sẽ vẫn hiển thị đúng trên màn hình, nhưng trong mã HTML nền, nó chứa đầy các ký tự “rác” không nhìn thấy được.
Chẳng hạn, từ “WELLS FARGO” có thể được hiển thị đúng như vậy trên email. Nhưng khi kiểm tra kỹ mã HTML, chuỗi ký tự thực tế có thể là “WEqcvuilLLS FAroyawdRGO”. Các ký tự “qcvuil” và “royawd” là những ký tự “muối” được thêm vào, giúp mã nguồn trông khác biệt đối với bộ lọc, trong khi người dùng vẫn đọc được từ gốc.
Đây không phải là cách duy nhất. Một kỹ thuật đơn giản hơn nhưng cũng không kém phần nguy hiểm là tấn công homoglyph. Kỹ thuật này liên quan đến việc thay thế một số ký tự bằng các ký tự trông tương tự nhưng lại được mã hóa khác nhau (có Unicode khác). Ví dụ, thay thế chữ “o” thông thường bằng chữ “o” trong bảng chữ cái Cyrillic. Chúng trông gần như giống hệt nhau, nhưng hệ thống máy tính lại nhận diện chúng là hai ký tự hoàn toàn khác biệt. Điều này không chỉ đánh lừa một số bộ lọc thư rác mà còn đủ để khiến người dùng tin rằng người gửi là hợp pháp.
Để dễ hình dung hơn, hãy xem qua các ví dụ sau về tấn công homoglyph:
- Bank of America
- Bank of America (chữ ‘o’ thứ hai được thay thế)
Ví dụ trên có vẻ rõ ràng, nhưng với các ký tự Cyrillic, việc phân biệt trở nên gần như không thể:
- Bank of America
- Bank оf America (chữ ‘o’ thứ hai là ký tự Cyrillic, rất khó phân biệt bằng mắt thường)
Ngoài ra, kẻ lừa đảo còn có thể sử dụng hình ảnh thay vì văn bản để vượt qua bộ lọc. Điều này thường dễ nhận biết hơn, bởi lẽ các dịch vụ hợp pháp sẽ không bao giờ thay thế văn bản bằng hình ảnh, đặc biệt khi họ muốn cảnh báo bạn về một vấn đề quan trọng như vi phạm dữ liệu.
Dấu Hiệu Nhận Biết Một Cuộc Tấn Công Email Salting
Mặc dù các cá nhân có ý đồ xấu hiện nay đang sử dụng trí tuệ nhân tạo (AI) để tạo ra các email lừa đảo tinh vi hơn, nhưng các cuộc tấn công này vẫn có thể được phát hiện dễ dàng nếu bạn quen thuộc với các dấu hiệu nhận biết chính. Hãy xem bộ lọc thư rác của bạn chỉ là tuyến phòng thủ đầu tiên; nếu một email lừa đảo bằng cách nào đó lọt qua, đó không phải là dấu chấm hết.
Để nhanh chóng xác định trạng thái đáng ngờ của email, hãy xem xét kỹ lưỡng toàn bộ thông điệp. Hầu hết các vụ lừa đảo qua email đều sẽ lộ tẩy khi bạn tự hỏi tại sao một doanh nghiệp hợp pháp lại cố gắng thúc giục bạn hành động quá nhanh bằng cách chuyển hướng bạn đến một trang web hoàn toàn mới hoặc yêu cầu bạn tải xuống tệp đính kèm ngay lập tức. Kẻ lừa đảo thường sử dụng các thủ thuật tâm lý xã hội (social engineering) để thao túng bạn hành động vội vàng, nhưng nếu bạn dành một chút thời gian để suy nghĩ, bạn có thể dễ dàng nhìn thấu âm mưu của chúng.
Ngay cả khi email trông có vẻ chính hãng, nó thường thiếu các chi tiết cá nhân mà công ty nên có. Ví dụ, họ có thể gọi bạn là “Kính gửi Khách hàng” hoặc một cụm từ chung chung tương tự.
Mặc dù các cuộc tấn công homoglyph có thể gây khó khăn hơn trong việc phát hiện, địa chỉ email mà kẻ lừa đảo sử dụng có thể không chính xác. Bạn sẽ thấy tên miền là một biến thể của tên miền chính thức, hoặc nếu kẻ lừa đảo lười biếng, đó có thể là một tài khoản Gmail thông thường mà không một doanh nghiệp nghiêm túc nào sử dụng.
Kiểm Tra Mã Nguồn (Source View): Vũ Khí Tối Thượng Của Bạn
Để kiểm tra xem một email có bị “salted” hay không, bạn nên xem nhanh mã HTML của nó thông qua tính năng “Xem mã nguồn” (Source View). Hầu hết các ứng dụng email đều có tùy chọn này; chúng ta sẽ sử dụng Gmail làm ví dụ.
Giao diện một email thông thường trong Gmail, làm nổi bật biểu tượng ba chấm để truy cập tùy chọn xem mã nguồn.
Nhấp vào biểu tượng ba chấm ở góc trên cùng bên phải của email và chọn “Hiển thị bản gốc” (Show original) hoặc “Xem mã nguồn” (View source) trong danh sách thả xuống. Bạn sẽ có thể xem toàn bộ cấu trúc bên trong của email.
Mã nguồn HTML của một email hợp lệ được hiển thị trong cửa sổ xem nguồn, cho thấy nội dung văn bản sạch và không bị nhiễu.
Khi xem mã nguồn, bạn sẽ dễ dàng nhận thấy liệu phần nội dung chính của email có bị chèn thêm các ký tự lạ hay không. Nếu nội dung hoàn toàn nguyên vẹn và giống hệt những gì hiển thị ở giao diện người dùng, không có ký tự ngẫu nhiên nào chen vào các từ đã chọn, không có mã ẩn, thì email đó có thể an toàn.
Hãy nhớ lại ví dụ “Wells Fargo” ở trên. Nếu email bị salting, mã HTML sẽ cho thấy một bức tranh rõ ràng: có một loạt các ký tự không liên quan được chèn giữa các từ “Wells” và “Fargo”, làm biến dạng chuỗi ký tự gốc.
Ví dụ về mã HTML của email đã bị 'salted', cho thấy các ký tự rác được chèn vào giữa các từ để đánh lừa bộ lọc thư rác.
Mặc dù việc tìm một email bị “salted” thực tế có thể khó khăn, ví dụ này minh họa chính xác những gì bạn sẽ thấy trong chế độ xem mã nguồn nếu mã email đã bị giả mạo.
Công Cụ Hỗ Trợ Phát Hiện Tấn Công Homoglyph
Các cuộc tấn công email salting và homoglyph thường có những điểm tương đồng nhất định. Nếu một email trông có vẻ hợp lệ nhưng bạn vẫn cảm thấy có gì đó không ổn, hãy “đeo kính thám tử” và bắt đầu tìm kiếm những ký tự đáng ngờ. Hãy chú ý kỹ, và bạn sẽ nhanh chóng nhận ra ký tự nào là bất thường, ví dụ: “Homoglγph” – chữ “γ” (gamma) chắc chắn là một điểm bất thường rõ rệt nếu bạn biết mình đang tìm kiếm gì.
Tuy nhiên, bên cạnh việc rèn luyện khả năng quan sát chi tiết để tránh sập bẫy lừa đảo, bạn cũng có thể tận dụng nhiều công cụ trực tuyến để phát hiện các ký tự homoglyph. Một công cụ hữu ích là Spoofed Unicode Checker. Bạn chỉ cần sao chép văn bản đáng nghi vào cửa sổ bên trái, và công cụ sẽ hiển thị cho bạn những ký tự nào đã bị giả mạo.
Với những kiến thức này và các công cụ hỗ trợ trong tay, bạn sẽ có thể bảo vệ bản thân một cách hiệu quả chống lại các cuộc tấn công lừa đảo, ngay cả khi một email không may lọt qua bộ lọc thư rác của bạn. Mặc dù các vụ lừa đảo ngày càng trở nên tinh vi hơn với sự hỗ trợ của AI, việc thực hành những quy tắc cảnh giác cơ bản và nhận thức về các dấu hiệu chính của lừa đảo sẽ giúp bạn tránh trở thành nạn nhân của các chiêu trò này.
