Trong thời đại số hóa, email đã trở thành một công cụ giao tiếp không thể thiếu, nhưng cũng là mục tiêu chính của những kẻ lừa đảo trực tuyến. Với sự phát triển không ngừng của công nghệ, các chiêu trò lừa đảo qua email ngày càng trở nên tinh vi hơn, dễ dàng vượt qua các bộ lọc thư rác truyền thống và đánh lừa cả những người dùng cẩn trọng nhất. Hai trong số những kỹ thuật đáng lo ngại nhất hiện nay là Email Salting và Tấn công Homoglyph. Chúng không chỉ thách thức các bộ lọc spam mà còn khiến người dùng khó lòng nhận biết bằng mắt thường. Bài viết này sẽ đi sâu vào cách thức hoạt động của Email Salting và Homoglyph Attack, đồng thời trang bị cho bạn những kiến thức và công cụ cần thiết để phát hiện và tự bảo vệ mình khỏi những mối đe dọa ẩn mình này.
Email Salting Hoạt Động Như Thế Nào?
Email Salting là một chiến thuật độc hại mà những kẻ lừa đảo sử dụng để thao túng nội dung email (thường là bằng cách làm biến dạng mã HTML tiềm ẩn) nhằm đánh lừa các bộ lọc spam. Trình duyệt hoặc ứng dụng email của bạn sẽ dịch mã HTML thành nội dung bạn nhìn thấy trên màn hình. Bằng cách sử dụng các thủ thuật khác nhau, kẻ lừa đảo có thể thêm “rác” vào mã nguồn, qua mặt bộ lọc trong khi vẫn đảm bảo văn bản hiển thị trên màn hình hoàn toàn bình thường và hợp pháp.
Ví dụ điển hình là việc chèn các ký tự có độ rộng bằng 0 (zero-width space) hoặc ký tự không nối (zero-width non-joiner) vào mã HTML. Nói một cách đơn giản, một email sẽ hiển thị một từ thường kích hoạt bộ lọc spam (ví dụ: tên một ngân hàng), trong khi mã nguồn ẩn chứa đầy các ký tự “phụ” không hiển thị. Chẳng hạn, từ “WELLS FARGO” hiển thị bình thường, nhưng khi kiểm tra mã HTML, chuỗi ký tự thực tế có thể là “WEqcvuilLLS FAroyawdRGO”, với các ký tự qcvuil và royawd là các ký tự chèn thêm không hiển thị, giúp phá vỡ chuỗi từ khóa mà bộ lọc tìm kiếm.
Minh họa mã HTML bị làm giả trong cuộc tấn công Email Salting
Homoglyph Attack: Nguy Cơ Từ Ký Tự Trông Giống Nhau
Ngoài Email Salting, một kỹ thuật đơn giản nhưng không kém phần nguy hiểm là tấn công Homoglyph. Kỹ thuật này liên quan đến việc thay thế một số ký tự trong văn bản bằng các ký tự trông rất giống nhưng lại được mã hóa khác nhau (có mã Unicode khác).
Ví dụ điển hình là thay thế chữ ‘o’ Latin thông thường bằng chữ ‘о’ (o nhỏ) từ bảng chữ cái Cyrillic. Chúng xuất hiện gần như giống hệt nhau khi nhìn bằng mắt thường, nhưng lại có mã Unicode hoàn toàn khác biệt. Điều này không chỉ có thể đánh lừa một số bộ lọc spam mà còn đủ để khiến bạn nghĩ rằng người gửi là hợp pháp.
Hãy xem xét ví dụ dưới đây, được điều chỉnh từ bài viết gốc để minh họa rõ hơn:
- Bank of America (Chữ ‘o’ Latin thông thường)
- Bank of America (Chữ ‘o’ khác trông hơi lạ)
Mặc dù ví dụ trên có thể dễ nhận ra, nhưng hãy thử một ví dụ khó hơn nhiều:
- Bank of America
- Bank оf America
Không thể phân biệt bằng mắt thường! Ví dụ thứ hai là chữ ‘o’ Cyrillic được sử dụng trong tấn công homoglyph. Sự tinh vi này khiến người dùng rất khó nhận ra sự bất thường.
Ngoài ra, kẻ lừa đảo có thể sử dụng hình ảnh thay vì văn bản để vượt qua bộ lọc. Điều này thường dễ nhận biết hơn, vì hầu hết các dịch vụ hợp pháp sẽ không bao giờ thay thế văn bản bằng hình ảnh, đặc biệt khi họ đang cảnh báo bạn về một vấn đề quan trọng như vi phạm dữ liệu hoặc các thông báo phishing khác.
Cách Phát Hiện Tấn Công Email Salting và Email Lừa Đảo Phishing Khác
Bộ lọc spam chỉ là tuyến phòng thủ đầu tiên của bạn chống lại các cuộc tấn công phishing. Nếu một email lừa đảo vẫn lọt qua được, điều đó không phải là dấu chấm hết. Bạn vẫn có thể tự bảo vệ mình bằng cách nắm vững các dấu hiệu nhận biết quan trọng.
Dấu Hiệu Chung Của Email Lừa Đảo (Phishing)
Để dễ dàng xác định trạng thái đáng ngờ của email, hãy xem xét kỹ lưỡng toàn bộ thông điệp:
- Tâm lý thúc giục và kêu gọi hành động gấp: Hầu hết các vụ lừa đảo phishing đều sụp đổ ngay khi bạn tự hỏi tại sao một doanh nghiệp hợp pháp lại cố gắng khiến bạn hành động quá nhanh bằng cách chuyển hướng bạn đến một trang web hoàn toàn mới hoặc thúc giục bạn tải xuống tệp đính kèm ngay lập tức. Kẻ lừa đảo thường sử dụng các thủ thuật kỹ thuật xã hội (social engineering) để thao túng bạn hành động vội vàng. Nếu bạn bình tĩnh lại và suy nghĩ, bạn có thể sẽ nhận ra mánh khóe.
- Thiếu thông tin cá nhân hóa: Ngay cả khi email trông có vẻ chính xác, nó thường thiếu các chi tiết cá nhân mà công ty nên có sẵn. Ví dụ, họ có thể chỉ gọi bạn là “Kính gửi Khách hàng” hoặc những câu tương tự.
- Nội dung không logic hoặc bất thường: Luôn đặt câu hỏi về các yêu cầu không thường xuyên, chẳng hạn như yêu cầu cung cấp mật khẩu, thông tin tài chính hoặc nhấp vào các liên kết lạ.
Kiểm Tra Kỹ Địa Chỉ Email Người Gửi
Mặc dù các cuộc tấn công homoglyph có thể làm mọi thứ trở nên phức tạp hơn, địa chỉ email mà kẻ lừa đảo sử dụng có thể là manh mối lớn. Bạn có thể thấy tên miền là một biến thể của tên miền chính thức (ví dụ: amaz0n.com thay vì amazon.com), hoặc tệ hơn, chỉ là một tài khoản Gmail thông thường mà không một doanh nghiệp nghiêm túc nào sử dụng.
Khai Thác Chế Độ Xem Mã Nguồn (Source View) Để Kiểm Tra Chi Tiết Email
Để kiểm tra xem một email có bị “salting” hay không, bạn nên xem xét mã HTML thông qua tính năng Xem Mã Nguồn (Source View) hoặc “Show Original”. Hầu hết các ứng dụng email đều có tùy chọn này. Chúng tôi sẽ sử dụng Gmail làm ví dụ.
Hướng dẫn tìm tùy chọn "Show original" để xem mã nguồn email trong Gmail
Khi mở email trong Gmail, hãy nhấp vào biểu tượng ba dấu chấm ở góc trên bên phải của email và chọn “Show original” (Hiển thị bản gốc) hoặc “Source View” trong danh sách thả xuống. Bạn sẽ có thể nhìn thấy toàn bộ mã nguồn HTML của email.
Minh họa mã nguồn HTML của một email hợp lệ, không có dấu hiệu salting
Mã nguồn HTML của một email hợp lệ sẽ hiển thị nội dung tin nhắn hoàn toàn nguyên vẹn và giống hệt như những gì được hiển thị ở giao diện người dùng: không có ký tự ngẫu nhiên chen giữa các từ, không có mã ẩn.
Hãy nhớ lại ví dụ “Wells Fargo” của chúng ta trước đó. Trong trường hợp email bị salting, mã HTML sẽ thể hiện rõ điều đó. Bạn sẽ thấy một loạt các ký tự không liên quan được chèn vào giữa các từ. Mặc dù khó tìm được một email bị salting trong thực tế để minh họa, nhưng ví dụ WEqcvuilLLS FAroyawdRGO đã mô tả chính xác những gì bạn sẽ thấy trong chế độ xem mã nguồn nếu mã email đã bị can thiệp.
Công Cụ Hỗ Trợ Phát Hiện Homoglyph
Các cuộc tấn công Email Salting và Homoglyph có nhiều điểm tương đồng. Nếu một email có vẻ hợp pháp nhưng bạn vẫn có cảm giác bất an, hãy đeo “kính thám tử” vào và bắt đầu tìm kiếm những ký tự đáng ngờ.
Hãy chú ý thật kỹ, bạn sẽ nhanh chóng nhận ra ký tự nào là sai. Ví dụ:
- Homoglγph
Nếu bạn đoán là chữ “γ”, bạn đã đúng. Nó sẽ nổi bật lên nếu bạn biết mình đang tìm kiếm điều gì.
Mặc dù việc rèn luyện khả năng quan sát tinh tường để tránh bị lừa đảo là rất quan trọng, nhưng cũng có rất nhiều công cụ trực tuyến có sẵn để phát hiện homoglyph. Một trong những công cụ phổ biến là Spoofed Unicode Checker. Chỉ cần sao chép văn bản vào cửa sổ bên trái, công cụ sẽ hiển thị cho bạn những ký tự nào đã bị làm giả.
Với kiến thức này và những công cụ mới trong kho vũ khí của mình, bạn sẽ có thể bảo vệ bản thân một cách hiệu quả chống lại phishing ngay cả khi một email vượt qua bộ lọc spam. Mặc dù các trò lừa đảo ngày càng tinh vi hơn với sự hỗ trợ của trí tuệ nhân tạo (AI), nhưng việc thực hành sự cảnh giác và nhận thức về các dấu hiệu chính của phishing sẽ giúp bạn tránh trở thành nạn nhân của những thủ đoạn này.
