Bộ lọc thư rác (spam filter) đóng vai trò quan trọng trong việc bảo vệ hộp thư đến của bạn khỏi các email lừa đảo, phần mềm độc hại và nhiều mối đe dọa khác. Tuy nhiên, những kẻ lừa đảo luôn không ngừng thích nghi và phát triển các kỹ thuật mới để vượt qua hàng rào phòng thủ này. Một trong những phương pháp tấn công email mới nổi gần đây được gọi là email salting đang giúp những kẻ lừa đảo dễ dàng qua mặt các hệ thống bảo vệ email, nhưng có một số cách để bạn có thể tự bảo vệ hộp thư của mình an toàn.
Email Salting Hoạt Động Như Thế Nào?
Email salting là một kỹ thuật tấn công tinh vi mà trong đó kẻ lừa đảo thao túng nội dung của email, chủ yếu bằng cách bóp méo mã HTML cơ bản của nó, nhằm đánh lừa các bộ lọc thư rác. Trình duyệt email của bạn sẽ dịch mã HTML thành nội dung mà bạn nhìn thấy trên màn hình. Bằng cách sử dụng các thủ thuật khác nhau, kẻ lừa đảo có thể chèn các ký tự không hiển thị hoặc mã độc hại vào code, qua đó vượt qua bộ lọc trong khi vẫn đảm bảo văn bản thông thường được hiển thị.
Ví dụ, kẻ tấn công có thể chèn các ký tự zero-width space (ký tự khoảng trắng có chiều rộng bằng 0) và zero-width non-joiner (ký tự không nối, có chiều rộng bằng 0) vào mã HTML. Nói một cách đơn giản, một email sẽ hiển thị một từ thường kích hoạt bộ lọc thư rác, trong khi mã HTML ẩn chứa đầy các ký tự “phụ” không nhìn thấy.
Một ví dụ điển hình là từ “WELLS FARGO”. Với kỹ thuật email salting, cụm từ chính xác vẫn được hiển thị, nhưng khi kiểm tra kỹ hơn mã HTML, chuỗi ký tự thực tế có thể là “WEqcvuilLLS FAroyawdRGO”. Các ký tự “qcvuil” và “royawd” được chèn vào nhưng lại vô hình trên màn hình, đánh lừa bộ lọc thư rác.
Đây không phải là cách duy nhất để thực hiện điều này. Một kỹ thuật đơn giản hơn nhiều, như tấn công homoglyph, cũng có thể gây ra thiệt hại tương tự. Kỹ thuật này liên quan đến việc thay thế một số ký tự bằng những ký tự trông tương tự nhưng lại được mã hóa khác nhau. Một ví dụ điển hình là việc thay thế chữ “o” thông thường bằng chữ “o” trong bảng chữ cái Cyrillic, vì chúng trông gần như giống hệt nhau nhưng có giá trị Unicode khác (Unicode là tiêu chuẩn mã hóa văn bản).
Điều này không chỉ có thể đánh lừa một số bộ lọc thư rác mà còn đủ để khiến bạn nghĩ rằng người gửi là hợp pháp.
Để dễ hình dung hơn, hãy xem xét các ví dụ sau về homoglyph:
- Bank of America
- Bank of America (chữ “o” thứ hai được thay thế)
Ví dụ trên có thể dễ nhận ra hơn. Hãy thử một ví dụ khó hơn nhiều:
- Bank of America
- Bank оf America (chữ “o” thứ hai là từ bảng chữ cái Cyrillic, gần như không thể phân biệt bằng mắt thường)
Một cách khác mà kẻ lừa đảo có thể vượt qua bộ lọc của bạn là sử dụng hình ảnh thay vì văn bản. Kỹ thuật này thường dễ nhận biết đối với hầu hết mọi người, vì không có dịch vụ hợp pháp nào lại thay thế văn bản bằng hình ảnh, đặc biệt nếu họ đang cảnh báo bạn về vi phạm dữ liệu hoặc các chiêu trò lừa đảo qua email khác.
Dấu Hiệu Nhận Biết Tấn Công Email Salting và Lừa Đảo Email Tổng Quát
Bạn có thể tự hỏi: liệu có cách nào để phát hiện một cuộc tấn công email salting không? Câu trả lời là CÓ.
Mặc dù những kẻ xấu hiện nay sử dụng trí tuệ nhân tạo (AI) để tạo ra các email lừa đảo hiệu quả hơn, nhưng những vụ lừa đảo này vẫn khá dễ phát hiện nếu bạn quen thuộc với các dấu hiệu chính. Hãy xem bộ lọc thư rác của bạn chỉ là tuyến phòng thủ đầu tiên chống lại lừa đảo, vì vậy nếu một email đáng ngờ bằng cách nào đó lọt qua, đó không phải là ngày tận thế.
Để dễ dàng xác định trạng thái đáng ngờ của email, hãy xem xét kỹ tin nhắn tổng thể. Hầu hết các vụ lừa đảo qua email đều bị phát hiện ngay khi bạn tự hỏi tại sao một doanh nghiệp hợp pháp lại cố gắng khiến bạn hành động quá nhanh bằng cách chuyển hướng bạn đến một trang web hoàn toàn mới hoặc thúc giục bạn tải xuống một tệp đính kèm CÀNG SỚM CÀNG TỐT. Kẻ lừa đảo thường sử dụng các thủ thuật social engineering (tấn công phi kỹ thuật) để thao túng bạn hành động nhanh chóng, nhưng nếu bạn bình tĩnh lại, bạn có thể sẽ nhìn thấu được trò lừa bịp.
Ngay cả khi email trông có vẻ chính hãng, nó sẽ thiếu các chi tiết cá nhân mà công ty thực sự phải có. Ví dụ, họ có thể gọi bạn là “Kính gửi Khách hàng” hoặc những cụm từ tương tự.
Mặc dù các tấn công homoglyph có thể khiến việc nhận biết trở nên khó khăn hơn, nhưng địa chỉ email mà kẻ lừa đảo sử dụng có thể không chính xác. Bạn sẽ thấy rằng tên miền là một biến thể của tên miền chính thức, hoặc nếu kẻ lừa đảo lười biếng, đó có thể là một tài khoản Gmail thông thường mà không có doanh nghiệp tự trọng nào lại sử dụng.
Nhưng giả sử bạn không phát hiện bất kỳ dấu hiệu nào trong email bạn nhận được – liệu bạn có nên làm theo hướng dẫn của nó không?
Khám Phá Mã Nguồn Email (Source View) – Công Cụ Đắc Lực Của Bạn
Để kiểm tra xem một email có bị “salting” hay không, bạn nên xem nhanh mã HTML của nó thông qua tính năng Source View (Xem nguồn). Hầu hết các ứng dụng email đều có tùy chọn này, nhưng ở đây chúng ta sẽ sử dụng Gmail làm ví dụ minh họa.
Giao diện hộp thư Gmail với email bình thường, sẵn sàng để kiểm tra mã nguồn
Nhấp vào biểu tượng ba dấu chấm ở góc trên bên phải của email và chọn “Show original” (Hiển thị bản gốc) hoặc “View source” (Xem nguồn) trong danh sách thả xuống. Bạn sẽ có thể xem mã nguồn nội tại của email.
Mã nguồn HTML của một email hợp lệ hiển thị rõ ràng, không chứa ký tự lạ hay bị thao túng
Rõ ràng là nội dung của tin nhắn hoàn toàn nguyên vẹn và giống hệt với những gì được hiển thị ở giao diện người dùng: không có ký tự ngẫu nhiên nào làm gián đoạn các từ được chọn, không có mã ẩn.
Hãy nhớ ví dụ “Wells Fargo” của chúng ta ở trên? Mã HTML của một email bị tấn công “salting” sẽ cho thấy một bức tranh rõ ràng hơn. Sẽ có một loạt các ký tự không liên quan được chèn giữa các từ hoặc trong các từ.
Ví dụ mã HTML của email bị tấn công email salting, cho thấy các ký tự rác xen kẽ từ khóa để lừa bộ lọc spam
(Nguồn ảnh: Cisco Talos)
Dù việc tìm kiếm một email thực tế bị “salting” là khá khó, nhưng ví dụ trên cho thấy những gì bạn có thể thấy trong Source View nếu mã email đã bị can thiệp.
Công Cụ Hỗ Trợ Phát Hiện Homoglyph Attacks
Tấn công email salting có những điểm tương đồng với tấn công homoglyph. Nếu email có vẻ hợp pháp nhưng bạn vẫn có một cảm giác kỳ lạ về nó, thì việc đeo “kính thám tử” vào và bắt đầu tìm kiếm những ký tự đáng ngờ là điều thông minh.
Hãy chú ý kỹ, và bạn sẽ nhanh chóng có thể nhận ra ký tự nào là sai:
- Homoglγph
Nếu bạn đoán là chữ “γ” (gamma Hy Lạp), thì bạn đã đúng. Nó nổi bật như một ngón tay cái bị đau nếu bạn biết mình đang tìm kiếm gì.
Tuy nhiên, mặc dù việc phát triển khả năng quan sát chi tiết để tránh bị lừa đảo là rất quan trọng, nhưng cũng có rất nhiều công cụ trực tuyến để phát hiện homoglyph mà bạn có thể sử dụng. Spoofed Unicode Checker là một trong những công cụ hiệu quả: chỉ cần sao chép văn bản vào cửa sổ bên trái, và công cụ sẽ hiển thị cho bạn những ký tự nào đã bị giả mạo.
Với kiến thức này và bộ công cụ mới trong kho vũ khí của bạn, bạn sẽ có thể tự bảo vệ mình một cách hiệu quả chống lại lừa đảo qua email ngay cả khi một email độc hại lọt qua bộ lọc thư rác. Mặc dù các vụ lừa đảo ngày càng trở nên tinh vi hơn với sự hỗ trợ của AI, việc thực hành ý thức thông thường và nhận biết các dấu hiệu chính của lừa đảo sẽ giúp bạn tránh trở thành nạn nhân của những thủ đoạn như vậy.
