Các bộ lọc thư rác (spam filters) ngày nay đã làm rất tốt công việc giữ những email độc hại tránh xa hộp thư đến của bạn. Tuy nhiên, chúng không hề hoàn hảo. Nếu bạn cần một lý do để luôn cảnh giác khi mở bất kỳ email nào, ngay cả khi chúng đã vượt qua lớp bảo vệ an ninh, thì bạn chỉ cần tìm hiểu về các cuộc tấn công Email Salting. Đây là một hiểm họa tiềm ẩn mà nhiều người dùng công nghệ có thể chưa biết đến.
Email Salting là gì và hoạt động ra sao?
Theo báo cáo từ Cisco Talos, các cuộc tấn công Email Salting cho phép những kẻ lừa đảo “đánh lừa” bộ lọc thư rác và đưa email của chúng thẳng vào hộp thư đến của bạn. Kỹ thuật này hoạt động bằng cách thêm các đoạn văn bản rác, vô nghĩa vào nội dung email. Những đoạn văn bản rác này được thiết kế để gây nhầm lẫn cho các công cụ kiểm tra spam, trong khi người đọc gần như không thể nhìn thấy chúng.
Khi một bộ lọc spam kiểm tra email, nó sẽ “đào sâu” vào mã HTML của email để phân tích nội dung. Tuy nhiên, bạn, người đọc, không nhìn thấy mã HTML này; thay vào đó, bạn thấy phiên bản được trình duyệt hoặc ứng dụng email dịch từ mã HTML thành định dạng dễ đọc hơn. Đây chính là lỗ hổng mà kỹ thuật Email Salting khai thác.
Ví dụ minh họa cách kỹ thuật Email Salting chèn văn bản rác ẩn vào nội dung email để đánh lừa bộ lọc spam
Email Salting hoạt động bằng cách chèn văn bản rác vào giữa các từ hoặc ký tự trong email, phá vỡ cấu trúc “nhận diện” của bộ lọc spam. Bằng cách này, bộ lọc sẽ không thể “nhìn thấy” ý đồ thực sự của kẻ lừa đảo. Tuy nhiên, chúng sử dụng các thủ thuật tinh vi để đảm bảo rằng văn bản rác này không hiển thị khi bạn đọc email, chỉ để lại những từ mà chúng muốn bạn thấy.
Ví dụ thực tế về kỹ thuật Email Salting
Các cuộc tấn công Email Salting không chỉ là lý thuyết mà đã được phát hiện và ghi nhận trong thực tế. Dưới đây là hai ví dụ điển hình về cách những kẻ tấn công sử dụng kỹ thuật này để vượt qua các lớp phòng thủ.
Giấu ký tự bằng độ rộng bằng 0 (Zero Width)
Một ví dụ được Cisco Talos phát hiện là khi kẻ lừa đảo muốn mạo danh ngân hàng Wells Fargo. Nếu chúng chỉ đơn thuần viết “Wells Fargo”, bộ lọc spam sẽ dễ dàng phát hiện và chặn hành vi lừa đảo. Thay vào đó, những kẻ lừa đảo đã chèn văn bản rác vào giữa các từ “Wells” và “Fargo”, sau đó đặt độ rộng của các văn bản bổ sung này bằng không (zero width).
Khi bộ lọc spam quét email, nó sẽ nhìn thấy chuỗi ký tự như sau:
WEqcvuilLLS FAroyawdRGONhưng vì văn bản rác có độ rộng bằng không, nó không hiển thị khi bạn đọc email, để lại cho bạn chỉ những từ quen thuộc:
WELLS FARGOBằng cách này, kẻ lừa đảo có thể mạo danh Wells Fargo mà không bị bộ lọc spam phát hiện.
Sử dụng ký tự không hiển thị (ZWSP/ZWNJ)
Một ví dụ khác liên quan đến việc kẻ lừa đảo thêm các ký tự Zero-Width Space (ZWSP) và Zero-Width Non-Joiner (ZWNJ) vào giữa mỗi chữ cái trong một từ. Vì chúng là các ký tự hợp lệ, bộ lọc spam sẽ đọc chúng khi đánh giá xem email có phải là thư rác hay không.
Tuy nhiên, do các ký tự này không chiếm không gian hiển thị, chúng sẽ không xuất hiện khi email được hiển thị trên màn hình của bạn. Điều này có nghĩa là bạn vẫn thấy từ đó một cách bình thường, không có bất kỳ khoảng cách hay gián đoạn nào. Kỹ thuật này đặc biệt hiệu quả vì nó phá vỡ chuỗi từ khóa mà bộ lọc spam thường tìm kiếm.
Kết luận
Những ví dụ trên là minh chứng rõ ràng cho thấy bạn không bao giờ nên tin tưởng mù quáng vào một email, ngay cả khi nó đã vượt qua bộ lọc spam và đến được hộp thư đến của bạn. Email Salting là lời nhắc nhở rằng các mối đe dọa trực tuyến đang ngày càng trở nên tinh vi hơn. Luôn kiểm tra kỹ người gửi và nội dung trước khi nhấp vào bất kỳ liên kết đáng ngờ nào. Hãy chủ động tìm hiểu thêm về các hình thức lừa đảo phổ biến để tự bảo vệ mình khỏi những hiểm họa không gian mạng.
Tham khảo:
