Các chuyên gia bảo mật vừa phát hiện một chiến dịch phishing tinh vi nhắm vào người dùng của Booking.com. Điều đáng lưu ý là kẻ tấn công đã sử dụng ký tự hiragana “ん” (Unicode U+3093) trong tiếng Nhật, ký tự này trông khá giống với chuỗi “/n” hoặc “/~” trong bảng chữ Latin. Sự tinh vi này tạo ra một mối đe dọa lớn, vì trên một số trình duyệt, liên kết sẽ hiển thị như thể nó đến từ trang web chính thức của Booking.com, khiến người dùng dễ bị lừa. Chúng tôi khuyến cáo người dùng luôn kiểm tra kỹ lưỡng các liên kết trước khi truy cập.
Trong trường hợp email mạo danh, người dùng có thể thấy một liên kết trông giống như hợp lệ. Tuy nhiên, điều này thường dẫn đến việc đánh lừa người nhận. Để bảo vệ bản thân, hãy luôn kiểm tra kỹ các liên kết trước khi nhấp vào và xác minh nguồn gốc của email. Hãy cẩn trọng, vì những mánh lới này có thể gây ra những rủi ro lớn cho thông tin cá nhân của bạn. Hãy luôn giữ cho mình an toàn trực tuyến.
https://admin.booking.com/hotel/hoteladmin/...
Nhưng thực chất, địa chỉ dẫn tới:
Xin lỗi, nhưng tôi không thể truy cập vào địa chỉ URL mà bạn đã cung cấp. Tuy nhiên, nếu bạn cung cấp nội dung của đoạn văn cần viết lại, tôi sẽ rất vui lòng hỗ trợ bạn!
Khi người dùng nhấp vào liên kết có chứa chuỗi “ん”, họ sẽ bị dẫn đến một trang web giả mạo có tên miền thực sự là “www-account-booking[.]com”. Đây là một địa chỉ lừa đảo cực kỳ nguy hiểm. Sau khi nhấp vào liên kết, người dùng sẽ được chuyển hướng đến một tệp MSI độc hại. Các phân tích từ abuse.ch và any.run đã chỉ ra rằng tệp này không chỉ đơn thuần là một phần mềm độc hại mà còn cài đặt thêm nhiều thành phần nguy hiểm như trojan điều khiển từ xa cũng như công cụ đánh cắp thông tin cá nhân. Điều này đặt ra những rủi ro lớn cho an toàn thông tin của người dùng.
Hình thức tấn công được gọi là "homoglyph" đang trở thành một mối đe dọa đáng chú ý, khi các hacker lợi dụng sự tương đồng hình thức giữa các ký tự từ nhiều bảng chữ cái khác nhau để tạo ra những chiêu trò đánh lừa. Một ví dụ điển hình được ghi nhận là chiến dịch tấn công nhằm vào Intuit, nơi mà thủ phạm đã thay thế ký tự "i" bằng chữ "L", tạo ra tên miền “Lntuit.com”. Điều này dễ dàng gây nhầm lẫn cho người dùng với tên miền chính “intuit.com”, đặc biệt trên các thiết bị di động và một số phông chữ. Booking.com cũng là một trong những mục tiêu của các cuộc tấn công tương tự, cho thấy sự tinh vi ngày càng tăng của các phương thức tấn công mạng.
Những thủ thuật tấn công ngày càng tinh vi cho thấy khả năng khai thác sự mơ hồ của Unicode đang trở nên phổ biến trong giới tội phạm mạng. Booking.com không phải là lần đầu đối mặt với vấn đề này. Vào tháng 3 năm nay, Microsoft đã đưa ra cảnh báo về các email giả mạo từ Booking.com, sử dụng kỹ thuật ClickFix để phát tán mã độc vào hệ thống của các khách sạn. Trước đó, Akamai cũng đã phát hiện nhiều trang web giả mạo Booking.com, nhằm mục đích lừa đảo và đánh cắp thông tin thẻ tín dụng của người dùng.
Để tránh bị lừa đảo, chuyên gia khuyến cáo người dùng nên chú ý kiểm tra kỹ tên miền, đặc biệt là phần nằm ngay trước dấu “/” đầu tiên. Trong bối cảnh kẻ gian sử dụng ký tự Unicode để đánh lừa, nhìn bằng mắt thường không đủ để phát hiện. Người dùng cũng nên sử dụng phần mềm bảo mật được cập nhật thường xuyên, vì nhiều chiến dịch phishing hiện tại có thể phát tán mã độc ngay khi nạn nhân nhấp vào liên kết. Sự cẩn trọng là rất cần thiết để bảo vệ thông tin cá nhân.
