Bộ lọc thư rác (spam filter) đóng vai trò quan trọng trong việc bảo vệ hộp thư đến của bạn khỏi các trò lừa đảo, phần mềm độc hại và những mối nguy hiểm khác. Tuy nhiên, những kẻ lừa đảo luôn tìm cách thích nghi và phát triển các kỹ thuật mới. Một chiêu trò lừa đảo qua email gần đây được biết đến với tên gọi “Email Salting” đang giúp kẻ tấn công vượt qua các lớp bảo vệ email truyền thống. Ngoài ra, các cuộc tấn công Homoglyph cũng gây ra mối đe dọa đáng kể. Việc nắm rõ cách thức hoạt động và các dấu hiệu nhận biết của những phương pháp tấn công tinh vi này sẽ giúp bạn giữ an toàn cho hộp thư của mình.
Email Salting Hoạt Động Như Thế Nào?
Email Salting là một chiến thuật độc hại mà trong đó kẻ lừa đảo thao túng nội dung email, phổ biến nhất là bằng cách làm biến dạng mã HTML nền tảng. Trình duyệt email của bạn sẽ dịch mã HTML này thành nội dung bạn nhìn thấy trên màn hình. Bằng cách sử dụng các thủ thuật khác nhau, kẻ lừa đảo có thể thêm các ký tự “rác” vào mã mà mắt thường không nhìn thấy, giúp vượt qua bộ lọc thư rác trong khi vẫn đảm bảo văn bản hiển thị bình thường.
Chẳng hạn, chúng có thể chèn các ký tự không có chiều rộng (zero-width space) hoặc ký tự không nối (zero-width non-joiner) vào mã HTML. Nói một cách đơn giản, một email sẽ hiển thị một từ thường kích hoạt bộ lọc thư rác, trong khi mã nền lại chứa đầy các ký tự rỗng. Ví dụ điển hình là từ “WELLS FARGO”. Với kỹ thuật Email Salting, cụm từ chính xác vẫn được hiển thị, nhưng khi kiểm tra kỹ mã HTML, chuỗi ký tự thực tế có thể là “WEqcvuilLLS FAroyawdRGO”. Những ký tự thừa này đánh lừa bộ lọc thư rác, khiến chúng không thể nhận diện từ khóa độc hại, trong khi người dùng vẫn đọc được thông tin bình thường.
Hộp thư đến email trên máy tính xách tay với thông báo thư, minh họa nguy cơ tấn công email salting.
Tấn Công Homoglyph: Nguy Hiểm Tiềm Ẩn Không Kém
Không chỉ Email Salting, một kỹ thuật đơn giản hơn nhưng không kém phần nguy hiểm là tấn công Homoglyph. Phương pháp này liên quan đến việc thay thế một số ký tự bằng những ký tự trông tương tự nhưng lại được mã hóa khác nhau. Một ví dụ điển hình là việc thay thế ký tự ‘o’ thông thường bằng một ký tự ‘о’ từ bảng chữ cái Cyrillic. Chúng trông gần như giống hệt nhau nhưng có mã Unicode khác biệt.
Kỹ thuật này không chỉ đánh lừa một số bộ lọc thư rác mà còn đủ sức khiến bạn tin rằng người gửi là hợp pháp. Hãy xem xét ví dụ dưới đây để thấy rõ sự tinh vi của Homoglyph:
- Bank of America
- Bank of America (ký tự ‘o’ đã được thay thế)
Ở ví dụ trên, có thể bạn sẽ dễ dàng nhận ra sự khác biệt. Tuy nhiên, một ví dụ phức tạp hơn sẽ khó phân biệt bằng mắt thường:
- Bank of America
- Bank оf America (ký tự ‘о’ Cyrillic thay thế ‘o’ Latin)
Sự thay thế này gần như không thể phân biệt bằng mắt thường và cực kỳ dễ thực hiện với các ký tự từ bảng chữ cái Cyrillic. Ngoài ra, một cách khác mà kẻ lừa đảo có thể vượt qua bộ lọc của bạn là sử dụng hình ảnh thay vì văn bản. Mặc dù dễ nhận biết hơn, nhưng không có dịch vụ hợp pháp nào lại thay thế văn bản bằng hình ảnh, đặc biệt khi họ cảnh báo bạn về vi phạm dữ liệu hoặc các chiêu trò lừa đảo tương tự.
Dấu Hiệu Nhận Biết Một Cuộc Tấn Công Email Salting
Rất khó để hoàn toàn tránh khỏi Email Salting, nhưng không phải là không thể phát hiện. Mặc dù những cá nhân độc hại hiện đang sử dụng AI để tạo ra các email lừa đảo hiệu quả hơn, nhưng những trò lừa đảo này vẫn tương đối dễ nhận diện nếu bạn quen thuộc với các dấu hiệu chính. Hãy coi bộ lọc thư rác của bạn chỉ là tuyến phòng thủ đầu tiên chống lại phishing. Nếu một email lừa đảo bằng cách nào đó vượt qua được, đó không phải là ngày tận thế.
Để dễ dàng xác định trạng thái đáng ngờ của một email, hãy xem xét kỹ tổng thể nội dung tin nhắn. Hầu hết các vụ lừa đảo phishing sẽ sụp đổ ngay khi bạn tự hỏi tại sao một doanh nghiệp hợp pháp lại cố gắng khiến bạn hành động quá nhanh bằng cách chuyển hướng bạn đến một trang web hoàn toàn mới hoặc thúc giục bạn tải xuống một tệp đính kèm ngay lập tức. Kẻ lừa đảo sử dụng các thủ thuật kỹ thuật xã hội để thao túng bạn hành động vội vàng, nhưng nếu bạn bình tĩnh lại, bạn có thể sẽ nhìn thấu trò lừa bịp này.
Người dùng kiểm tra điện thoại thông minh với tin nhắn SMS lừa đảo, thể hiện sự cảnh giác trước các cuộc tấn công phishing.
Ngay cả khi email trông có vẻ chính hãng, nó sẽ thiếu các chi tiết cá nhân mà công ty nên có. Ví dụ, họ có thể gọi bạn là “Kính gửi Quý khách hàng” hoặc những cụm từ tương tự. Mặc dù các ký tự Homoglyph có thể khiến mọi thứ khó nhận biết hơn một chút, nhưng địa chỉ email mà kẻ lừa đảo sử dụng có thể không chính xác. Bạn sẽ thấy rằng tên miền là một biến thể của tên miền chính thức, hoặc nếu kẻ lừa đảo lười biếng, đó có thể là một tài khoản Gmail thông thường mà không một doanh nghiệp nào tự trọng lại sử dụng. Nhưng nếu bạn không phát hiện bất kỳ dấu hiệu nào trong email bạn nhận được – bạn có nên làm theo hướng dẫn của nó không?
Kiểm Tra Mã Nguồn Email (Source View) Để Phát Hiện Email Salting
Để kiểm tra xem một email có bị “salted” hay không, bạn nên xem nhanh mã HTML của nó thông qua tính năng “Source View” (Xem mã nguồn). Hầu hết các ứng dụng email đều có tùy chọn này; ví dụ, tôi sẽ sử dụng Gmail.
Giao diện email thông thường trong Gmail, minh họa điểm bắt đầu để kiểm tra mã nguồn email.
Hãy nhấp vào ba chấm ở góc trên bên phải của email và chọn “Hiển thị bản gốc” (Show original) hoặc “Xem mã nguồn” (View Source) trong danh sách thả xuống. Bạn sẽ có thể nhìn thấy cấu trúc bên trong của email.
Mã HTML hiển thị khi xem Source View của một email hợp lệ, cho thấy nội dung sạch và không bị thao túng.
Khi xem mã nguồn, bạn sẽ thấy rõ rằng phần nội dung thư hoàn toàn nguyên vẹn và giống hệt những gì hiển thị ở giao diện người dùng: không có ký tự ngẫu nhiên nào chen vào giữa các từ chọn lọc, không có mã ẩn. Quay lại ví dụ “Wells Fargo” của chúng ta. Mã HTML có thể cho thấy một bức tranh rõ ràng: có một loạt các ký tự không liên quan được chèn vào giữa các từ “Wells” và “Fargo”.
Ví dụ minh họa việc chèn các ký tự không liên quan vào mã HTML của từ "Wells Fargo" trong email salting, nguồn từ Cisco Talos.
Mặc dù việc tìm thấy một email thực sự bị “salted” khá khó, nhưng ví dụ này mô phỏng chính xác những gì bạn sẽ thấy trong chế độ xem mã nguồn nếu mã email đã bị can thiệp.
Phát Hiện Các Ký Tự Homoglyph Bằng Mắt Thường Và Công Cụ
Các cuộc tấn công Email Salting và Homoglyph có nhiều điểm tương đồng. Nếu email có vẻ hợp pháp nhưng bạn vẫn có cảm giác lạ về nó, hãy thông minh đeo “kính thám tử” của mình và bắt đầu tìm kiếm những ký tự đáng ngờ. Hãy chú ý kỹ, và bạn sẽ nhanh chóng nhận ra ký tự nào là sai:
- Homoglγph
Nếu bạn đoán là ký tự “γ”, bạn đã đúng. Nó nổi bật như một “ngón tay cái bị đau” nếu bạn biết mình đang tìm kiếm gì. Tuy nhiên, ngoài việc rèn luyện sự tinh tường cho đôi mắt để tránh bị lừa, cũng có rất nhiều công cụ trực tuyến giúp bạn phát hiện Homoglyph. Một trong những công cụ yêu thích là Spoofed Unicode Checker: bạn chỉ cần sao chép văn bản vào cửa sổ bên trái, và công cụ sẽ cho bạn biết những ký tự nào đã bị giả mạo.
Với kiến thức này và những công cụ mới trong kho vũ khí của bạn, bạn sẽ có thể tự bảo vệ mình một cách hiệu quả chống lại lừa đảo qua mạng ngay cả khi một email độc hại vượt qua được bộ lọc thư rác. Mặc dù các trò lừa đảo ngày càng tinh vi hơn với sự hỗ trợ của AI, việc thực hành ý thức thông thường và nhận thức được các dấu hiệu chính của phishing sẽ giúp bạn tránh trở thành nạn nhân của những chiến thuật này.
