Cảnh báo: Tin tặc dùng ký tự Nhật giả mạo Booking.com đánh cắp dữ liệu

• bảo mật mạng
• lừa đảo trực tuyến
• homoglyph attack

18/8/2025 đọc mất khoảng 7 phút

Cảnh báo: Tin tặc dùng ký tự Nhật giả mạo Booking.com đánh cắp dữ liệu

Chiêu lừa đảo mới sử dụng ký tự hiragana "ん" giả mạo đường link Booking.com. Hướng dẫn nhận biết và phòng tránh homoglyph attack.

Phương thức lừa đảo mới nhắm vào người dùng Booking.com

Trong bối cảnh tội phạm mạng ngày càng tinh vi, các chuyên gia bảo mật vừa phát hiện một chiến dịch phishing cực kỳ nguy hiểm nhắm vào khách hàng của Booking.com. Điểm đáng lo ngại nhất của cuộc tấn công này là việc khai thác ký tự Unicode để tạo ra những đường dẫn giả mạo có khả năng đánh lừa ngay cả những người dùng có kinh nghiệm.

Theo báo cáo từ các tổ chức bảo mật uy tín, tin tặc đã sử dụng ký tự hiragana "ん" (Unicode U+3093) trong bảng chữ cái tiếng Nhật để tạo ra những liên kết có vẻ ngoài hoàn toàn giống với địa chỉ chính thức của Booking.com. Trên nhiều trình duyệt và thiết bị, ký tự này hiển thị rất giống với chuỗi "/n" hoặc "/~" trong bảng chữ Latin, khiến người dùng dễ dàng tin tưởng và nhấp vào.

Cách thức hoạt động của homoglyph attack

Kỹ thuật này được gọi là "homoglyph attack" - một phương pháp tấn công dựa trên sự tương đồng về hình dạng giữa các ký tự thuộc different character sets. Trong trường hợp cụ thể này, kẻ tấn công đã tạo ra những email giả mạo chứa đường dẫn như:

https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/

Đối với người dùng bình thường, đường dẫn này có thể trông giống như một liên kết hợp lệ dẫn đến trang quản lý tài khoản của Booking.com. Tuy nhiên, thực chất, tên miền thật sự mà liên kết này dẫn tới là "www-account-booking.com" - một địa chỉ hoàn toàn do tin tặc kiểm soát.

Khi người dùng nhấp vào những liên kết này, họ sẽ được chuyển hướng đến các trang web độc hại được thiết kế để tải xuống các tệp MSI chứa mã độc. Theo phân tích từ các nền tảng bảo mật như abuse.ch và any.run, những tệp tin này có khả năng cài đặt nhiều loại phần mềm độc hại nguy hiểm, bao gồm trojan điều khiển từ xa và các công cụ chuyên dụng để đánh cắp thông tin cá nhân.

Mức độ lan rộng và các mục tiêu khác

Booking.com không phải là mục tiêu duy nhất của loại hình tấn công này. Theo báo cáo từ BleepingComputer, các chuyên gia bảo mật cũng đã phát hiện một chiến dịch tương tự nhắm vào Intuit - một công ty phần mềm tài chính nổi tiếng. Trong trường hợp này, tin tặc đã thay thế chữ "i" bằng chữ "L" để tạo ra tên miền "Lntuit.com", rất dễ bị nhầm lẫn với "intuit.com" chính thức, đặc biệt khi xem trên các thiết bị di động hoặc với những phông chữ nhất định.

Những cuộc tấn công này cho thấy tin tặc đang ngày càng khéo léo trong việc khai thác các đặc điểm của hệ thống Unicode và sự mơ hồ trong cách hiển thị ký tự trên các nền tảng khác nhau. Điều này đặt ra những thách thức mới cho cả người dùng lẫn các tổ chức bảo mật trong việc phát hiện và ngăn chặn các hoạt động lừa đảo.

Lịch sử các cuộc tấn công nhắm vào Booking.com

Thực tế, Booking.com đã không lần đầu tiên trở thành mục tiêu của các cuộc tấn công mạng. Trong tháng 3 năm 2024, Microsoft đã đưa ra cảnh báo về một chiến dịch email giả mạo Booking.com sử dụng kỹ thuật ClickFix để phát tán mã độc vào hệ thống của các khách sạn và nhà nghỉ.

Trước đó, vào năm 2023, công ty bảo mật Akamai cũng đã phát hiện một mạng lưới các trang web giả mạo Booking.com được thiết lập với mục đích đánh cắp thông tin thẻ tín dụng của khách hàng. Những sự kiện này cho thấy thương hiệu Booking.com, với độ tin cậy và phổ biến cao, đã liên tục được các tổ chức tội phạm mạng nhắm đến như một "mồi nhử" hiệu quả.

Cách nhận biết và phòng tránh homoglyph attack

Để bảo vệ bản thân khỏi loại hình tấn công này, người dùng cần áp dụng một số biện pháp phòng ngừa cụ thể. Trước hết, việc kiểm tra kỹ lưỡng tên miền là điều không thể thiếu. Phần quan trọng nhất cần chú ý là đoạn text ngay trước dấu "/" đầu tiên trong URL, đây chính là tên miền thực sự của trang web.

Tuy nhiên, với các cuộc tấn công sử dụng ký tự Unicode để đánh lừa thị giác như trường hợp này, việc chỉ dựa vào quan sát trực tiếp là không đủ. Người dùng nên sử dụng các phần mềm bảo mật được cập nhật thường xuyên và có khả năng phát hiện các loại đường dẫn đáng nghi.

Một cách tiếp cận hiệu quả khác là luôn truy cập các trang web quan trọng như Booking.com thông qua cách gõ trực tiếp địa chỉ vào thanh địa chỉ của trình duyệt hoặc sử dụng bookmark đã lưu trước đó, thay vì nhấp vào các liên kết trong email, tin nhắn hoặc trên mạng xã hội.

Tầm quan trọng của giáo dục bảo mật

Sự xuất hiện của homoglyph attack nhấn mạnh tầm quan trọng của việc nâng cao nhận thức về bảo mật mạng cho người dùng. Nhiều người vẫn chưa quen thuộc với khái niệm Unicode và cách thức hoạt động của các hệ thống ký tự quốc tế, điều này tạo ra những lỗ hổng mà tin tặc có thể khai thác.

Các tổ chức và doanh nghiệp cần đầu tư vào việc đào tạo nhân viên về các dạng tấn công mới và cách nhận biết chúng. Đồng thời, việc triển khai các giải pháp bảo mật đa lớp, bao gồm email security gateway, web filtering và endpoint protection, là điều cần thiết để tạo ra một hệ thống phòng thủ toàn diện.

Khuyến nghị cho người dùng

Để giảm thiểu rủi ro trở thành nạn nhân của các cuộc tấn công homoglyph, người dùng nên tuân thủ một số nguyên tắc bảo mật cơ bản. Đầu tiên, luôn kiểm tra kỹ lưỡng địa chỉ email của người gửi và nội dung email trước khi thực hiện bất kỳ hành động nào.

Thứ hai, tránh nhấp vào các liên kết đáng nghi, đặc biệt là những liên kết yêu cầu đăng nhập hoặc cung cấp thông tin cá nhân. Thay vào đó, hãy truy cập trực tiếp vào trang web chính thức thông qua trình duyệt.

Cuối cùng, việc duy trì các phần mềm bảo mật, trình duyệt và hệ điều hành ở phiên bản mới nhất là điều vô cùng quan trọng, vì các bản cập nhật thường chứa các bản vá bảo mật để chống lại những kỹ thuật tấn công mới nhất.