Cộng đồng người dùng Booking.com đang đứng trước nguy cơ bị nhắm mục tiêu bởi một chiến dịch lừa đảo phishing mới, được thiết kế tinh vi để đánh cắp dữ liệu cá nhân, thông tin đăng nhập và nhiều loại tài sản số khác. Đội ngũ Microsoft Threat Intelligence đã phát hiện ra cuộc tấn công đang diễn ra, nhắm vào cả người dùng cá nhân và các tổ chức khách sạn trên toàn thế giới, và có những dấu hiệu rõ ràng để nhận biết và phòng tránh.
Diễn biến chiến dịch lừa đảo Booking.com mới và kỹ thuật ClickFix
Microsoft Threat Intelligence lần đầu tiên phát hiện chiến dịch phishing Booking.com này vào tháng 12 năm 2024, nhưng đến nay nó vẫn đang hoạt động mạnh mẽ và tiếp tục gây thiệt hại cho nhiều nạn nhân ở các quốc gia khác nhau. Chiến dịch này sử dụng một kỹ thuật kỹ thuật xã hội đặc biệt có tên là ClickFix, về cơ bản, nó đánh lừa người dùng nhấp qua các thông báo lỗi giả mạo để chạy các lệnh tải xuống phần mềm độc hại.
Theo giải thích của Microsoft: “Trong kỹ thuật ClickFix, kẻ tấn công tìm cách lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi giả hoặc lời nhắc hướng dẫn người dùng mục tiêu khắc phục sự cố bằng cách sao chép, dán và khởi chạy các lệnh cuối cùng dẫn đến việc tải xuống phần mềm độc hại.”
Chiến dịch này không quá khác biệt so với một cuộc tấn công phishing điển hình. Nạn nhân nhận được một email trông có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là sẽ đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo phishing nhắm vào Booking.com.
Tuy nhiên, điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống mã độc, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run, sau đó nhập lệnh mà những kẻ lừa đảo cung cấp.
Lệnh này sẽ tự động được sao chép vào bộ nhớ đệm (clipboard) của bạn ngay khi cửa sổ CAPTCHA xuất hiện. Đồng thời, hướng dẫn sẽ chỉ cho bạn cách nhấn tổ hợp phím Windows key + R để mở cửa sổ Run, dán lệnh bằng tổ hợp phím Ctrl + V, và cuối cùng là chạy nó bằng cách nhấn Enter. Hơn nữa, yêu cầu tương tác người dùng này đảm bảo rằng phần mềm độc hại có thể vượt qua các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Minh họa trang CAPTCHA giả mạo dùng trong chiến dịch lừa đảo Booking.com theo cảnh báo của Microsoft Threat Intelligence.
Lệnh này tải xuống và chạy phần mềm độc hại chính – một loại mã độc có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Phần mềm độc hại này chứa nhiều họ mã độc khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT.
Dấu hiệu nhận biết và cách phòng tránh hiệu quả
Đây không phải là lần đầu tiên Booking.com trở thành nạn nhân của các chiêu trò lừa đảo phishing. Chẳng hạn, chiến dịch lừa đảo Telekopye nhắm vào Booking.com vào năm 2024 cũng đã khiến hàng ngàn khách du lịch mất cảnh giác bị mắc bẫy.
Để bảo vệ bản thân, hãy luôn tuân thủ các nguyên tắc sau trước khi nhấp vào bất kỳ liên kết nào trong email:
- Xác minh địa chỉ email người gửi: Trong hầu hết các trường hợp, email phishing sẽ không đến từ địa chỉ email chính thức của công ty.
- Truy cập trực tiếp trang web: Nếu có bất kỳ vấn đề gì cần giải quyết, hãy tự mình truy cập thẳng vào trang web chính thức của Booking.com (hoặc dịch vụ liên quan) và liên hệ trực tiếp với bộ phận hỗ trợ khách hàng để được giải quyết.
- Cảnh giác với CAPTCHA yêu cầu chạy lệnh: Kẻ gian lợi dụng CAPTCHA để phát tán mã độc không phải là điều mới. Hãy nhớ rằng, CAPTCHA chỉ là các bài kiểm tra đơn giản để xác minh bạn là con người. Nếu một CAPTCHA yêu cầu bạn chạy lệnh hoặc mở bất kỳ cửa sổ nào, bạn chắc chắn đang ở trên một trang web độc hại.
Chiến dịch lừa đảo Booking.com mới này là một lời nhắc nhở quan trọng về sự tinh vi ngày càng tăng của tội phạm mạng. Hãy luôn cảnh giác và trang bị kiến thức để bảo vệ thông tin cá nhân và tài khoản của bạn trên không gian mạng.
