Chiến dịch tấn công mạng ClickFix giả mạo Booking.com nhắm vào các khách sạn toàn cầu

Trong bối cảnh ngành du lịch đang chuẩn bị cho mùa cao điểm cuối năm và lễ Tết, các chuyên gia an ninh mạng vừa phát đi cảnh báo về một mối đe dọa nghiêm trọng. Chiến dịch ClickFix đang lợi dụng sự tin cậy của các dịch vụ đặt phòng trực tuyến phổ biến để lừa đảo, chiếm quyền truy cập và đánh cắp dữ liệu nhạy cảm.

Thủ đoạn tinh vi của ClickFix

Theo ghi nhận, ClickFix hoạt động bằng cách gửi các email lừa đảo (phishing) được ngụy trang khéo léo dưới danh nghĩa của Booking.com hoặc Expedia. Những email này thường có nội dung cấp bách hoặc quen thuộc với nhân viên khách sạn, chẳng hạn như: "Xác nhận đặt phòng khẩn", "Khiếu nại của khách hàng", "Yêu cầu cập nhật thanh toán", "Thông báo hủy đặt phòng",...

Các email giả mạo này thường chứa các tệp đính kèm (như tệp Excel giả mạo hóa đơn) hoặc các đường dẫn độc hại. Khi một nhân viên mất cảnh giác và nhấp vào liên kết hoặc mở tệp, một lệnh PowerShell độc hại sẽ được kích hoạt ngay lập tức.

PureRAT: "Vũ khí" nguy hiểm đứng sau

Mục tiêu cuối cùng của ClickFix là cài đặt mã độc PureRAT, một loại Trojan truy cập từ xa (RAT) đặc biệt nguy hiểm. Một khi xâm nhập thành công vào hệ thống mục tiêu, phần mềm độc hại này có thể cho phép kẻ tấn công thực hiện các hành vi trái phép như:

- Thiết lập quyền điều khiển từ xa hoàn toàn.

- Theo dõi mọi hoạt động của người dùng trên máy tính bị nhiễm.

- Thu thập và đánh cắp thông tin đăng nhập, đặc biệt là tài khoản quản trị các nền tảng đặt phòng.

- Đánh cắp dữ liệu khách hàng, thông tin thanh toán và các bí mật kinh doanh.

- Cài đặt thêm các phần mềm gián điệp hoặc ransomware khác để duy trì kiểm soát lâu dài hoặc tống tiền.

Điều đáng lo ngại hơn là chiến dịch này có dấu hiệu được thương mại hóa theo mô hình Attack-as-a-Service, cho phép tội phạm mạng dễ dàng mua và triển khai các công cụ tấn công, làm gia tăng quy mô và mức độ nguy hiểm của các cuộc tấn công.

Nguy cơ hiện hữu tại Việt Nam

Booking.com là một trong những nền tảng đặt phòng trực tuyến phổ biến nhất tại Việt Nam với hàng chục nghìn cơ sở lưu trú đang sử dụng. Điều này khiến các khách sạn tại Việt Nam trở thành mục tiêu tiềm năng lớn của chiến dịch ClickFix.

Đặc biệt, khi kỳ nghỉ lễ tết dương lịch và tết Nguyên đán đang đến gần, nhu cầu đặt phòng tăng cao, khiến nhân viên khách sạn phải xử lý lượng email và yêu cầu lớn, làm tăng nguy cơ sơ hở, mất cảnh giác.

Khuyến cáo dành cho các cơ sở lưu trú

Để tự bảo vệ mình trước mối đe dọa từ ClickFix và các chiến dịch tương tự, các khách sạn và cơ sở lưu trú cần nâng cao cảnh giác và thực hiện ngay các biện pháp sau:

- Nâng cao nhận thức cho nhân viên (đặc biệt là lễ tân và bộ phận đặt phòng) về các hình thức lừa đảo qua email.
- Luôn kiểm tra kỹ địa chỉ email của người gửi. Các email giả mạo thường có những khác biệt nhỏ nhưng có thể nhận ra (ví dụ: booking.co thay vì booking.com).
- Tuyệt đối không mở tệp đính kèm hoặc nhấp vào các đường dẫn đáng ngờ, ngay cả khi email có vẻ hợp lý.
- Ưu tiên truy cập và quản lý đặt phòng thông qua ứng dụng hoặc trang chủ chính thức của các nền tảng.
- Cài đặt và cập nhật thường xuyên các giải pháp giám sát email, phần mềm diệt virus và các công cụ chống mã độc toàn diện, vì các phần mềm bảo vệ cơ bản đi kèm hệ điều hành thường không đủ khả năng chống lại các mối đe dọa tinh vi.

Ngành du lịch - khách sạn, nơi lưu trữ lượng lớn dữ liệu cá nhân và thông tin thanh toán, luôn là mục tiêu hấp dẫn của tội phạm mạng. Việc nâng cấp không chỉ công nghệ bảo mật mà còn cả ý thức an toàn thông tin của mỗi cá nhân là vô cùng cần thiết.