Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) mới, được thiết kế tinh vi nhằm đánh cắp dữ liệu và thông tin đăng nhập. Microsoft Threat Intelligence đã phát hiện cuộc tấn công này đang diễn ra trên phạm vi toàn cầu, nhắm vào cả người dùng cá nhân lẫn các tổ chức cung cấp dịch vụ lưu trú. Mặc dù tinh vi, chiến dịch này vẫn có những dấu hiệu nhận biết rõ ràng để người dùng có thể tự bảo vệ mình.
Chiến Dịch Phishing Booking.com: Kỹ Thuật ClickFix Đầy Tinh Vi
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch phishing Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và tiếp tục gây hại cho nhiều nạn nhân trên khắp thế giới. Điểm đặc biệt của chiến dịch này là việc sử dụng kỹ thuật lừa đảo xã hội có tên là ClickFix. Kỹ thuật này đánh lừa người dùng nhấp qua các thông báo lỗi giả mạo để thực thi các lệnh tải xuống mã độc. Theo Microsoft:
Trong kỹ thuật ClickFix, kẻ tấn công tận dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng sẽ dẫn đến việc tải xuống mã độc.
Chiến dịch này không quá khác biệt so với một cuộc tấn công lừa đảo thông thường: nạn nhân nhận được một email trông có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo Booking.com qua phishing
Tuy nhiên, điểm khác biệt lớn của chiến dịch này nằm ở những gì xảy ra sau khi bạn nhấp vào liên kết. Thay vì tải xuống mã độc ngay lập tức, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ “Run” của Windows và sau đó nhập lệnh mà kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào clipboard của bạn khi cửa sổ CAPTCHA xuất hiện. Hướng dẫn giải thích cách nhấn phím tắt Windows + R để mở cửa sổ Run, dán lệnh bằng phím tắt Ctrl + V, và cuối cùng là chạy nó bằng cách nhấn Enter. Việc yêu cầu người dùng tương tác này đảm bảo rằng payload độc hại có thể vượt qua các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ về trang CAPTCHA độc hại trong chiến dịch lừa đảo Booking.com của Microsoft Threat Intelligence
Lệnh này tải xuống và chạy payload độc hại chính – một loại mã độc có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Payload này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Làm Thế Nào Để Bảo Vệ Bạn Khỏi Các Chiêu Trò Lừa Đảo Booking.com?
Đây không phải là lần đầu tiên Booking.com trở thành mục tiêu của các vụ lừa đảo phishing. Vào năm 2024, vụ lừa đảo Telekopye nhắm vào Booking.com cũng đã khiến hàng ngàn khách du lịch mất cảnh giác.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh kỹ địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không đến từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập thẳng vào trang web liên quan, trong trường hợp này là Booking.com, và tự mình giải quyết vấn đề bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA chỉ là những bài kiểm tra đơn giản để xác minh bạn là con người. Nếu một CAPTCHA đang yêu cầu bạn chạy một lệnh hoặc mở bất kỳ cửa sổ nào, đó chắc chắn là một trang web độc hại.
Hãy luôn cảnh giác và kiểm tra kỹ lưỡng mọi thông tin trước khi thực hiện bất kỳ hành động nào để bảo vệ tài khoản và dữ liệu cá nhân của bạn trên không gian mạng. Chia sẻ thông tin này để cảnh báo bạn bè và người thân của bạn!
