Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo phishing tinh vi, được thiết kế để đánh cắp dữ liệu cá nhân, thông tin đăng nhập và nhiều hơn nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra này, nhắm vào cả người dùng và các tổ chức cung cấp dịch vụ lưu trú trên toàn cầu. Mặc dù có những dấu hiệu nhận biết, mức độ phức tạp của nó đòi hỏi sự cảnh giác cao độ. Bài viết này sẽ đi sâu vào cách thức hoạt động của chiến dịch lừa đảo Booking.com mới nhất, giúp bạn trang bị kiến thức để tự bảo vệ mình.
Chiến Dịch Phishing Booking.com Mới: Chiêu Trò ClickFix Tinh Vi
Microsoft Threat Intelligence đã lần đầu tiên phát hiện chiến dịch phishing Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn tiếp tục hoạt động mạnh mẽ và gây ra nhiều nạn nhân ở khắp các quốc gia trên thế giới. Chiến dịch này sử dụng một kỹ thuật kỹ thuật xã hội đặc biệt được gọi là ClickFix, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi giả mạo để chạy các lệnh tải xuống phần mềm độc hại.
Microsoft giải thích về kỹ thuật ClickFix như sau: “Trong kỹ thuật ClickFix, tác nhân đe dọa cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống phần mềm độc hại.”
Chiến dịch này không quá khác biệt so với các cuộc tấn công phishing thông thường khác. Nạn nhân nhận được một email có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là sẽ đưa người dùng đến trang web để giải quyết một vấn đề nào đó.
Sơ đồ chuỗi tấn công lừa đảo phishing nhắm vào người dùng Booking.com qua kỹ thuật ClickFix
CAPTCHA Giả Mạo: Cánh Cửa Dẫn Lối Mã Độc
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì tải xuống phần mềm độc hại ngay lập tức, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính của mình. CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run và sau đó nhập lệnh mà những kẻ lừa đảo cung cấp.
Lệnh này được tự động sao chép vào clipboard của bạn ngay khi cửa sổ CAPTCHA xuất hiện. Hướng dẫn còn giải thích cách nhấn phím tắt Windows key + R để mở cửa sổ Run, dán lệnh bằng phím tắt Ctrl + V và cuối cùng là chạy nó bằng cách nhấn Enter. Hơn nữa, yêu cầu tương tác người dùng này đảm bảo rằng payload độc hại có thể vượt qua các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ trang xác thực CAPTCHA giả mạo dùng để lừa đảo người dùng Booking.com chạy lệnh độc hại
Các Loại Mã Độc Nguy Hiểm Đằng Sau Cuộc Tấn Công
Lệnh này sẽ tải xuống và chạy payload độc hại chính – phần mềm độc hại có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Payload này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT. Đây đều là những mã độc có khả năng gây thiệt hại nghiêm trọng đến tài chính và quyền riêng tư của người dùng.
Làm Gì Khi Gặp Lừa Đảo Phishing Booking.com?
Đây không phải là lần đầu tiên Booking.com trở thành mục tiêu của các vụ lừa đảo phishing. Chiến dịch lừa đảo Telekopye nhắm vào Booking.com, cũng trong năm 2024, đã khiến hàng nghìn du khách không nghi ngờ bị mắc bẫy. Do đó, việc trang bị kiến thức và kỹ năng nhận diện lừa đảo là vô cùng quan trọng.
Trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi, vì trong hầu hết các trường hợp, email lừa đảo sẽ không xuất phát từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và tiến hành giải quyết vấn đề của mình tại đó bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán phần mềm độc hại cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA đang nhắc bạn chạy một lệnh hoặc mở bất kỳ cửa sổ nào, thì chắc chắn bạn đang ở trên một trang web độc hại.
Cuộc chiến chống lại lừa đảo trực tuyến luôn đòi hỏi sự cảnh giác không ngừng. Chiến dịch phishing Booking.com mới với kỹ thuật ClickFix và CAPTCHA giả mạo là lời nhắc nhở rõ ràng về sự phức tạp ngày càng tăng của các mối đe dọa mạng. Bằng cách luôn kiểm tra kỹ lưỡng nguồn email, truy cập trực tiếp các trang web chính thức và tuyệt đối không thực hiện các lệnh không rõ ràng theo yêu cầu của CAPTCHA, bạn có thể bảo vệ thông tin cá nhân và tài chính của mình khỏi những kẻ tấn công. Hãy chia sẻ kinh nghiệm hoặc thắc mắc của bạn về an toàn trực tuyến và lừa đảo phishing trong phần bình luận dưới đây để chúng ta cùng nhau nâng cao cảnh giác!
