Người dùng Booking.com trên toàn cầu đang trở thành mục tiêu của một chiến dịch lừa đảo (phishing) mới và cực kỳ tinh vi, được thiết kế để đánh cắp dữ liệu, thông tin đăng nhập và nhiều hơn nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra này, nhắm vào cả người dùng cá nhân và các tổ chức khách sạn trên khắp thế giới. Điều đáng nói là chiến dịch này sử dụng những dấu hiệu nhận biết khá rõ ràng nếu chúng ta nắm bắt được.
Phân Tích Chiến Dịch Lừa Đảo Booking.com Mới Nhất
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch lừa đảo Booking.com này vào tháng 12 năm 2024, nhưng cho đến nay nó vẫn đang hoạt động mạnh mẽ và tiếp tục gây hại cho nạn nhân từ nhiều quốc gia. Chiến dịch này sử dụng một kỹ thuật kỹ thuật xã hội được gọi là ClickFix, về cơ bản là lừa người dùng nhấp qua các thông báo lỗi giả mạo để thực thi các lệnh tải xuống phần mềm độc hại. Microsoft cho biết:
“Trong kỹ thuật ClickFix, kẻ tấn công cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo, hướng dẫn người dùng mục tiêu khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống phần mềm độc hại.”
Chiến dịch lừa đảo Booking.com này không quá khác biệt so với một cuộc tấn công lừa đảo điển hình. Nạn nhân nhận được một email trông có vẻ đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là sẽ đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm và cách thức hoạt động của chiến dịch lừa đảo Booking.com tinh vi sử dụng kỹ thuật ClickFix để đánh cắp thông tin.
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống phần mềm độc hại, bạn sẽ được đưa đến một trang CAPTCHA để “xác minh” danh tính. Trang CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run và sau đó nhập lệnh mà những kẻ lừa đảo cung cấp.
Lệnh này được tự động sao chép vào bộ nhớ tạm của bạn khi cửa sổ CAPTCHA xuất hiện. Các hướng dẫn giải thích cách nhấn phím tắt Windows key + R để mở cửa sổ Run, dán lệnh bằng phím tắt Ctrl + V và cuối cùng chạy nó bằng cách nhấn Enter. Hơn nữa, yêu cầu người dùng tương tác này đảm bảo rằng phần mềm độc hại độc hại có thể né tránh các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Ví dụ về trang CAPTCHA giả mạo trong chiến dịch lừa đảo Booking.com, yêu cầu người dùng chạy lệnh độc hại để né tránh các biện pháp bảo mật.
Lệnh này tải xuống và chạy phần mềm độc hại chính – một loại mã độc có thể đánh cắp dữ liệu tài chính và thông tin đăng nhập. Phần mềm độc hại này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Cách Bảo Vệ Bản Thân Khỏi Lừa Đảo Trực Tuyến và Scam Booking.com
Đây không phải là lần đầu tiên Booking.com đối mặt với các vụ lừa đảo. Vụ lừa đảo Telekopye nhắm vào Booking.com, cũng trong năm 2024, đã khiến hàng ngàn du khách không nghi ngờ trở thành nạn nhân.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không đến từ địa chỉ chính thức của công ty. Bạn cũng có thể truy cập trực tiếp trang web liên quan, trong trường hợp này là Booking.com, và tiến hành giải quyết vấn đề của mình bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán phần mềm độc hại cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA yêu cầu bạn chạy một lệnh hoặc mở bất kỳ cửa sổ nào, đó là dấu hiệu bạn đang ở trên một trang web độc hại.
Hãy luôn giữ sự cảnh giác cao độ khi tương tác với các email và trang web, đặc biệt là khi chúng yêu cầu bạn thực hiện các hành động bất thường. Sự chủ động trong việc kiểm tra và xác minh thông tin sẽ giúp bạn tránh xa những mối đe dọa trực tuyến tinh vi này.
Hãy chia sẻ thông tin này để nâng cao cảnh giác cho cộng đồng người dùng Booking.com và bảo vệ bản thân khỏi các chiến dịch lừa đảo trực tuyến!
