Chiến dịch lừa đảo booking du lịch tinh vi này được cho là bắt đầu diễn ra từ tháng 12/2024 và kéo dài đến tháng 2/2025 thông qua những người làm việc trong ngành dịch vụ khách sạn tại Bắc Mỹ, Đông Nam Á và châu Âu. Những kẻ tấn công đang lợi dụng mối quan hệ của nhân viên với Booking.com, đặc biệt là những khách hàng, người đi du lịch, nhân viên khách sạn, người thường xuyên mở email từ nền tảng du lịch này.
Theo báo cáo mới nhất từ Microsoft, chiến dịch này sử dụng một kỹ thuật gọi là "ClickFix". Kẻ lừa đảo tạo ra các thông báo lỗi giả mạo để đánh lừa người dùng, khuyến khích họ thực hiện các thao tác như sao chép, dán và chạy lệnh trên máy tính, từ đó tải xuống phần mềm độc hại.
 |
| Microsoft cảnh báo nhân viên khách sạn, khách du lịch kiểm tra kỹ địa email của người gửi. Ảnh: UNPLASH |
Các đối tượng mạo danh là nhân viên của Booking để tuyển nhân viên/ cộng tác viên làm một số công việc online như: Review/ đánh giá Khách sạn, đặt phòng khách sạn,... Sau đó kêu gọi nạn nhân nạp tiền vào để thanh toán ảo và nhận lại tiền kèm hoa hồng sau mỗi lần tương tác. Trang website các đối tượng lừa đảo đang sử dụng là: https://reviewvietnambooking.com/login và thường tạo nhóm Telegram để giao nhiệm vụ cho người bị lừa.
Ngoài ra, các nhóm lừa đảo sẽ tạo nhóm Zalo/Telegram, có người đóng vai Nhân viên và CTV “giả” để lấy lòng tin của khách hàng. Một số trường hợp, khách hàng nạp tiền và được nhận hoa hồng thành công ở những lần đầu tương tác (lúc số tiền còn thấp). Khi đã có được lòng tin khách hàng, các đối tượng kêu gọi nạn nhân nạp số tiền lớn hơn để nhận mức hoa hồng cao hơn và chiếm đoạt số tiền nạn nhân đã nạp vào.
Microsoft cảnh báo "nhu cầu tương tác của người dùng có thể giúp các cuộc tấn công này vượt qua các biện pháp bảo mật thông thường".
Cụ thể, người dùng được yêu cầu sử dụng phím tắt để mở cửa sổ Windows Run, sau đó dán và chạy lệnh mà trang lừa đảo cung cấp.
Các nhà nghiên cứu đã xác định Storm-1865 là nhóm tội phạm đứng sau chiến dịch này. Đây là nhóm đã thực hiện nhiều cuộc tấn công lừa đảo khác nhằm đánh cắp dữ liệu thanh toán và thực hiện các giao dịch gian lận.
 |
| Các email lừa đảo nhắm đến khách hàng của booking.com lẫn đối tác là các cơ sở du lịch, khách sạn. Ảnh chụp màn hình |
Các email độc hại thường chứa nội dung liên quan đến đánh giá không tốt từ khách hàng, yêu cầu xác minh tài khoản hoặc thông tin từ khách hàng tiềm năng.
Hầu hết các email đều có liên kết hoặc tệp đính kèm PDF dẫn đến một trang CAPTCHA giả mạo, nơi kẻ tấn công triển khai chương trình ClickFix. Khi nạn nhân nhấp vào liên kết, phần mềm độc hại sẽ được tải xuống thiết bị của họ.
Microsoft đã phát hiện nhiều loại phần mềm độc hại khác nhau được sử dụng trong các cuộc tấn công này, bao gồm XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT, tất cả đều cho phép tin tặc đánh cắp thông tin tài chính và thông tin đăng nhập.
Tuệ Minh (Theo Hacker News)