Bạn có thể đang mắc bẫy lừa đảo đăng nhập Microsoft này mà không hề hay biết

Hãy tưởng tượng bạn nhấp vào một email Microsoft trông có vẻ chính hãng với logo, bố cục và URL quen thuộc, nhưng cuối cùng lại bị mất thông tin đăng nhập. Email lừa đảo đang ngày càng tinh vi hơn khi kẻ tấn công lợi dụng ảo giác đánh lừa bạn cung cấp thông tin đăng nhập.

Hình thức tấn công này được gọi là Typosquatting, và nó cực kỳ tinh vi. Thoạt nhìn, địa chỉ người gửi trông có vẻ hợp lệ. Thiết kế email trùng khớp với những gì bạn mong đợi từ Microsoft. Ngay cả liên kết trong email cũng có vẻ đúng. Nhưng nếu nhìn kỹ hơn, bạn sẽ nhận thấy có điều gì đó không ổn: Một ký tự duy nhất đủ để tài khoản của bạn bị hack.

Typosquatting là gì và nó hoạt động như thế nào?

Một thủ thuật trực quan khai thác cách chúng ta đọc

Trong trường hợp này, kẻ tấn công đã đăng ký một domain như rnicrosoft.com và gửi email từ đó như thể chúng là bộ phận hỗ trợ chính thức của Microsoft. Thoạt nhìn, đặc biệt là trên điện thoại, não bạn có thể thấy domain là microsoft.com thay vì "r-nicrosoft". Đây chính là Typosquatting kinh điển (hay còn gọi là URL hijacking).

Typosquatting liên quan đến việc tạo ra các domain giả trông gần giống hệt các trang web phổ biến. Kẻ tấn công lợi dụng lỗi chính tả, thay đổi ký tự, domain cấp cao khác nhau (.co thay vì .com), hoặc domain phụ bị thay đổi để đánh lừa người dùng.

Mục đích là lừa bạn nhấp vào một liên kết hoặc nhập URL dẫn đến một domain tương tự. Khi đến đó, nạn nhân thường thấy một trang web giả mạo với thương hiệu và thiết kế trùng khớp. Bạn đăng nhập, nhập thông tin thanh toán hoặc tải xuống file và cung cấp cho kẻ tấn công những gì chúng cần.

Typosquatting hoạt động hiệu quả vì não bộ của chúng ta xử lý các từ quen thuộc theo dạng mẫu thay vì đọc từng chữ cái riêng lẻ. Khi bạn nhìn thấy "microsoft" hàng trăm lần, não bộ của bạn bắt đầu nhận dạng hình dạng thay vì xác minh từng ký tự. Kẻ lừa đảo lợi dụng điều này bằng cách sử dụng các chữ cái trông giống nhau như "rn" thay cho "m", "vv" thay cho "w" hoặc "1" thay cho "l".

Vấn đề này còn nghiêm trọng hơn trên thiết bị di động. Màn hình nhỏ hơn, phông chữ mặc định và thao tác cuộn nhanh khiến những khác biệt nhỏ này gần như vô hình. Bạn đang kiểm tra email trên điện thoại trong giờ nghỉ trưa, bạn thấy một tin nhắn trông giống như từ Microsoft, và lướt qua mà không hề do dự.

Điều khiến việc đánh cắp thông tin cá nhân trở nên hiệu quả là việc nó được sử dụng trong các email lừa đảo. Kẻ lừa đảo có thể đăng ký một domain với lỗi sai chính tả, thiết lập xác thực email phù hợp (SPF, DKIM, DMARC) và gửi những email trông hoàn toàn hợp lệ. Email vượt qua bộ lọc thư rác, tới hộp thư đến và chờ bạn nhấp vào.

Tại sao bộ lọc trình duyệt và email không phải lúc nào cũng phát hiện ra những điều này?

Các domain trông có vẻ hợp pháp lọt qua những bài kiểm tra tự động

Bạn có thể nghĩ rằng nhà cung cấp email hoặc trình duyệt của mình sẽ phát hiện ra các URL giả mạo hoặc sai chính tả rõ ràng, và thực tế là chúng thường làm được. Edge và Chrome thậm chí có thể phát hiện lỗi chính tả trong URL. Thật không may, Typosquatting lại khai thác những lỗ hổng mà các hệ thống tự động này bỏ sót.

Các domain Typosquatting thường được đăng ký với chứng chỉ SSL hợp lệ và nội dung trông có vẻ an toàn. Email gateway tập trung vào các mẫu thư rác và người gửi xấu đã biết, nhưng email từ một domain Typosquatting được cấu hình chính xác với xác thực phù hợp có thể trông giống hệt với lưu lượng truy cập hợp pháp về mặt thống kê. Trừ khi bộ lọc kiểm tra cụ thể sự tương đồng về thương hiệu hoặc sử dụng Machine Learning được điều chỉnh để phát hiện các domain giống nhau, nếu không nó sẽ không đánh dấu thư là đáng ngờ.

Các biện pháp bảo vệ trình duyệt cũng có những hạn chế tương tự. Các domain Typosquatting mới xuất hiện liên tục và chỉ có thể được sử dụng trong thời gian ngắn trước khi chuyển sang cơ sở hạ tầng mới. Danh sách chặn và các tính năng bảo vệ lỗi chính tả có thể bị chậm trễ hoặc hoàn toàn bỏ qua những cuộc tấn công có mục tiêu, khối lượng nhỏ. Đến khi một domain bị phát hiện, thiệt hại thường đã xảy ra rồi.

Bảo vệ chống lại Typosquatting rất dễ dàng, nhưng chỉ khi bạn biết cách

Những thói quen và công cụ đơn giản giúp bạn an toàn

Các công ty công nghệ lớn như Google, Microsoft, Amazon và nhiều công ty khác đang tích cực chống lại Typosquatting và thường xuyên mua các phiên bản domain bị lỗi chính tả phổ biến và chuyển hướng chúng đến những trang web chính thức của họ. Ví dụ, nếu nhập gooogle.com (có thêm chữ "o"), bạn sẽ được chuyển hướng đến đúng URL, Google.com. Điều này ngăn chặn những kẻ lừa đảo đăng ký các lỗi chính tả phổ biến. Nhưng họ không thể mua tất cả các biến thể có thể, điều đó nghĩa là bạn vẫn cần phải cảnh giác.

Cách phòng thủ đơn giản nhất là tạm dừng trước khi nhấp. Di chuột qua các liên kết trong email để xem URL thực tế trước khi nhấp. Kiểm tra kỹ thanh địa chỉ, đặc biệt là trên thiết bị di động, nơi màn hình nhỏ khiến những khác biệt nhỏ khó phát hiện hơn. Nếu có điều gì đó không ổn trên trang đăng nhập, bao gồm phông chữ sai, thiếu thành phần hoặc bất kỳ điều gì trông không ổn, hãy đóng tab và điều hướng trực tiếp đến trang web bằng cách tự nhập URL hoặc sử dụng dấu trang.

Trình quản lý mật khẩu cung cấp khả năng bảo vệ tích hợp sẵn. Nếu trình quản lý mật khẩu của bạn không tự động điền trên trang đăng nhập, đó là một dấu hiệu rõ ràng cho thấy domain đó không phải là domain bạn thường sử dụng. Trình quản lý mật khẩu kiểm tra domain chính xác chứ không phải giao diện, vì vậy các trang web bị đánh cắp mật khẩu sẽ không kích hoạt tính năng tự động điền.

Để bảo vệ tốt hơn nữa, hãy cân nhắc chuyển sang sử dụng passkey thay vì mật khẩu. Passkey được thiết kế để chống lừa đảo vì chúng được liên kết với các domain cụ thể và sẽ không hoạt động trên những trang web tương tự. Bạn cũng có thể sử dụng khóa bảo mật phần cứng cho các tài khoản hỗ trợ passkey. Các thiết bị vật lý này sẽ xác minh tính xác thực của trang web trước khi xác thực, khiến những cuộc tấn công đánh cắp mật khẩu về cơ bản trở nên vô dụng.