Cảnh báo nguy hiểm: Chiến dịch lừa đảo Phishing Homoglyph nhắm Marriott, Microsoft

Một chiến dịch lừa đảo phishing tinh vi đang nhắm mục tiêu vào khách hàng của Marriott International và Microsoft. Kẻ tấn công đã đăng ký các tên miền thay thế ký tự “m” bằng tổ hợp “rn” (r + n), tạo ra các trang web giả mạo gần như giống hệt các trang web thật.

Hiểu rõ về Tấn công Mạng Homoglyph

Kỹ thuật này, được biết đến là typosquatting hoặc tấn công homoglyph, khai thác cách các phông chữ hiện đại hiển thị văn bản. Trong nhiều phông chữ, các chữ cái “r” và “n” khi đặt cạnh nhau (rn) trông gần như không thể phân biệt được với chữ cái “m” (m). Đây là một trong những tấn công mạng phổ biến hiện nay.

Cơ chế đánh lừa thị giác

Kẻ tấn công dựa vào thủ thuật đánh lừa thị giác này để vượt qua khả năng phát hiện lỗi của não bộ. Khi người dùng lướt nhanh qua một URL như rnarriottinternational.com, não thường tự động “sửa lỗi” những gì nhìn thấy, giả định rằng đó là “Marriott”.

Sự tương đồng hình ảnh này đặc biệt hiệu quả trong các môi trường kỹ thuật số, nơi người dùng thường xuyên xử lý lượng lớn thông tin và có xu hướng quét nhanh hơn là đọc kỹ từng ký tự.

Khác biệt với các cuộc tấn công phishing truyền thống dựa vào lỗi ngữ pháp hoặc giao diện kém chuyên nghiệp, homoglyph phishing tận dụng sự tinh vi trong hiển thị ký tự để tạo ra sự tin cậy giả mạo.

Các loại Homoglyph Phổ biến

Homoglyph không chỉ giới hạn ở việc thay thế “m” bằng “rn”. Các biến thể khác cũng thường được sử dụng:

• Homoglyph hình ảnh: Các ký tự trông giống nhau trong một phông chữ cụ thể (ví dụ: chữ hoa ‘I’ và chữ thường ‘l’).
• Homoglyph Unicode (IDN Homograph Attacks): Sử dụng các ký tự từ các bảng mã Unicode khác nhau nhưng có hình dạng giống hệt hoặc rất giống nhau. Ví dụ, sử dụng ký tự Cyrillic ‘а’ thay cho ký tự Latin ‘a’.
• Typosquatting đơn giản: Lợi dụng lỗi gõ phím của người dùng (ví dụ: gõ sai google.com thành gooogle.com).

Mục tiêu cuối cùng của mọi biến thể này là đánh lừa người dùng truy cập vào trang web độc hại và thực hiện các hành động nguy hiểm.

Chiến dịch Lừa đảo Phishing Nhắm mục tiêu Cụ thể

Hai chiến dịch chính đã được xác định, mỗi chiến dịch nhắm vào một mục tiêu riêng biệt nhưng sử dụng cùng một kỹ thuật homoglyph.

Chiến dịch nhắm vào khách hàng Marriott International

Công ty bảo mật Netcraft gần đây đã xác định một nhóm tên miền độc hại cố gắng mạo danh gã khổng lồ khách sạn Marriott. Các tên miền này có khả năng được sử dụng để đánh cắp thông tin đăng nhập tài khoản khách hàng thân thiết hoặc dữ liệu khách hàng cá nhân.

Việc chiếm đoạt tài khoản thân thiết có thể dẫn đến việc kẻ tấn công sử dụng điểm thưởng, truy cập thông tin đặt phòng, hoặc thậm chí là thông tin thanh toán được lưu trữ.

Ví dụ điển hình được quan sát trong chiến dịch lừa đảo phishing này là việc sử dụng tên miền rnarriottinternational.com thay vì marriottinternational.com.

Chiến dịch nhắm vào người dùng Microsoft

Harley Sugarman, CEO của công ty bảo mật Anagram, đã phát hiện một chiến dịch lừa đảo phishing tương tự nhắm mục tiêu người dùng Microsoft. Các email lừa đảo trong chiến dịch này sử dụng tên miền rnicrosoft.com để gửi các cảnh báo bảo mật giả mạo hoặc thông báo hóa đơn.

Mục đích của các email này là tạo ra cảm giác cấp bách hoặc lo lắng, thúc đẩy người dùng nhấp vào các liên kết độc hại và nhập thông tin đăng nhập vào các trang web giả mạo, từ đó đánh cắp thông tin tài khoản Microsoft.

Những thông tin này có thể được sử dụng để truy cập vào các dịch vụ đám mây như OneDrive, Outlook, hoặc tài khoản Azure, gây ra rủi ro bảo mật nghiêm trọng.

Chỉ số Đe dọa (IOCs)

Các tên miền sau đây đã được gắn cờ là độc hại và cần được chặn ngay lập tức. Người dùng nên cảnh giác với bất kỳ liên kết nào dẫn đến chúng:

• rnarriottinternational.com
• rnicrosoft.com

Các nhóm bảo mật cần cấu hình các hệ thống phòng thủ như tường lửa, bộ lọc DNS, và cổng email để ngăn chặn lưu lượng truy cập đến các tên miền này.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro Bảo mật

Để bảo vệ khỏi các chiến dịch lừa đảo phishing sử dụng kỹ thuật homoglyph và các tấn công mạng tương tự, cần áp dụng nhiều lớp bảo vệ.

Phòng vệ Kỹ thuật

• Lọc DNS: Triển khai các dịch vụ lọc DNS để chặn truy cập đến các tên miền độc hại đã biết.
• Gateway Email Bảo mật: Sử dụng các giải pháp email gateway tiên tiến có khả năng phát hiện và chặn email phishing, bao gồm cả những email sử dụng homoglyph hoặc tên miền giả mạo.
• Xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các tài khoản quan trọng để thêm một lớp bảo mật ngay cả khi thông tin đăng nhập bị đánh cắp.
• Cập nhật phần mềm: Đảm bảo tất cả hệ điều hành, trình duyệt web và phần mềm bảo mật luôn được cập nhật phiên bản mới nhất để vá các lỗ hổng đã biết.
• Theo dõi Domain: Các tổ chức lớn nên thường xuyên theo dõi các tên miền tương tự với tên miền chính của mình để phát hiện sớm các chiến dịch typosquatting.

Nâng cao Nhận thức Người dùng

Con người là mắt xích quan trọng nhất trong chuỗi bảo mật. Nâng cao nhận thức là yếu tố then chốt để chống lại các rủi ro bảo mật từ phishing.

• Đào tạo định kỳ: Tổ chức các buổi đào tạo định kỳ về nhận diện email phishing, các dấu hiệu của tên miền giả mạo và các kỹ thuật lừa đảo mới.
• Kiểm tra URL: Hướng dẫn người dùng luôn kiểm tra kỹ URL trong thanh địa chỉ trước khi nhập thông tin đăng nhập hoặc nhấp vào liên kết. Đặc biệt, cần chú ý đến các ký tự trông giống nhau nhưng thực tế lại khác.
• Báo cáo các email đáng ngờ: Khuyến khích người dùng báo cáo bất kỳ email nào họ nghi ngờ là phishing cho bộ phận IT hoặc bảo mật.
• Sử dụng Bookmark: Khuyến khích người dùng sử dụng bookmark (dấu trang) cho các trang web thường xuyên truy cập thay vì nhấp vào các liên kết trong email.

CISA cung cấp các nguồn lực quan trọng để nâng cao nhận thức về phishing và các mối đe dọa mạng khác. Xem thêm tại Phishing General Awareness.

Kết luận về Mối đe dọa Này

Các chiến dịch lừa đảo phishing sử dụng homoglyph thể hiện sự tinh vi ngày càng tăng của kẻ tấn công. Việc kết hợp các biện pháp phòng vệ kỹ thuật và nâng cao nhận thức người dùng là cần thiết để bảo vệ dữ liệu và tài khoản khỏi các mối đe dọa này.

Luôn cảnh giác và xác minh kỹ lưỡng các thông tin trực tuyến là yếu tố then chốt để giảm thiểu rủi ro bảo mật từ các kỹ thuật lừa đảo tinh vi.