Hacker giăng bẫy người dùng Booking.com với chiêu trò lừa đảo mới

Một chiêu thức lừa đảo mới vừa được phát hiện khi tin tặc lợi dụng ký tự tiếng Nhật có hình dạng tương tự ký tự Latin để tạo đường dẫn giả mạo Booking.com. Nếu bất cẩn, nạn nhân có thể bị dẫn đến trang cài đặt mã độc đánh cắp dữ liệu.

Các chuyên gia bảo mật vừa cảnh báo về một chiến dịch phishing tinh vi nhắm đến khách hàng của Booking.com. Điểm đáng chú ý là kẻ tấn công đã khai thác ký tự hiragana “ん” (Unicode U+3093) trong tiếng Nhật, vốn trông gần giống chuỗi “/n” hoặc “/~” trong bảng chữ Latin. Trên một số trình duyệt, điều này khiến liên kết hiển thị giống như đường dẫn chính thống của Booking.com.

Khi mở trên trình duyệt, chuỗi “ん” khiến đường dẫn trông như một thư mục con của Booking.com, trong khi tên miền thật sự lại là “www-account-booking[.]com” - một địa chỉ lừa đảo. Người dùng nhấp vào liên kết sẽ bị chuyển hướng đến trang tải về tệp MSI độc hại. Theo phân tích từ abuse.ch và any.run, tệp này tiếp tục cài thêm nhiều thành phần nguy hiểm như trojan điều khiển từ xa hoặc công cụ đánh cắp dữ liệu cá nhân.

Hình thức tấn công này thuộc loại “homoglyph”, tức là tận dụng sự tương đồng về hình dạng giữa các ký tự của nhiều bảng chữ cái khác nhau để tạo cảm giác đánh lừa thị giác. Ngoài Booking.com, BleepingComputer cũng ghi nhận một chiến dịch khác nhắm vào Intuit. Trong đó, hacker thay chữ “i” bằng “L”, tạo tên miền “Lntuit.com”, rất dễ khiến người dùng tưởng nhầm với “intuit.com” trên một số phông chữ, đặc biệt khi xem trên điện thoại.

Những thủ thuật này cho thấy tin tặc ngày càng khéo léo trong việc khai thác sự mơ hồ của Unicode. Thực tế, Booking.com không phải lần đầu trở thành mục tiêu. Tháng 3 năm nay, Microsoft từng cảnh báo về email giả mạo Booking.com sử dụng kỹ thuật ClickFix để phát tán mã độc vào hệ thống khách sạn. Trước đó, năm 2023, Akamai cũng phát hiện các trang web giả mạo Booking.com được dựng lên để đánh cắp thông tin thẻ tín dụng.

Để tránh sập bẫy, các chuyên gia khuyến cáo người dùng nên tập trung kiểm tra kỹ tên miền, bởi phần quyết định luôn nằm ở đoạn ngay trước dấu “/” đầu tiên. Với trường hợp kẻ gian dùng ký tự Unicode đánh lừa mắt thường, chỉ nhìn bằng trực giác là không đủ. Người dùng cần kết hợp phần mềm bảo mật được cập nhật thường xuyên, bởi nhiều chiến dịch phishing hiện nay phát tán mã độc trực tiếp ngay sau khi nạn nhân nhấp vào liên kết.