Theo đó, tin tặc gửi email với các tiêu đề quen thuộc như “Xác nhận đặt phòng”, “Khiếu nại khách hàng”, “Cập nhật thanh toán”, “Hủy đặt phòng”… được thiết kế gần như giống hoàn toàn email thật. Trong email thường kèm theo liên kết hoặc file Excel giả hóa đơn/thông tin đặt phòng chứa mã độc. Chỉ cần người dùng nhấp vào liên kết hoặc mở tệp đính kèm, mã độc lập tức kích hoạt, cho phép kẻ tấn công chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu, theo dõi hoạt động, thậm chí xâm nhập sâu vào hệ thống nội bộ.

Nghiên cứu của các chuyên gia Bkav cho biết, ClickFix sử dụng PureRAT - một loại mã độc điều khiển từ xa cho phép tin tặc theo dõi người dùng, đánh cắp tài khoản, mở rộng tấn công và ẩn náu lâu dài. Đáng chú ý, chiến dịch có dấu hiệu vận hành dưới mô hình “Attack-as-a-Service”, nghĩa là bất kỳ đối tượng nào cũng có thể mua công cụ và tiến hành tấn công mà không cần trình độ kỹ thuật cao, khiến mức độ nguy hiểm gia tăng.

Ngoài ra, theo báo cáo từ công ty dịch vụ Internet Netcraft (Anh), một chiến dịch lừa đảo trực tuyến tinh vi đang nhắm tới khách du lịch trên thế giới - những người lên kế hoạch du lịch hoặc chuẩn bị nhận phòng. Tội phạm mạng gửi hàng loạt email giả mạo các công ty du lịch uy tín như Airbnb, Booking.com, Expedia và Agoda nhằm đánh cắp thông tin cá nhân và dữ liệu thẻ tín dụng. Các email này được thiết kế chuyên nghiệp, sử dụng logo và bố cục giống hệt thư chính thức, đồng thời tạo cảm giác cấp bách, yêu cầu người dùng “xác nhận đặt phòng trong vòng 24 giờ” để tránh bị hủy, khiến nạn nhân vội vàng hành động mà không kiểm tra kỹ.

Chiến dịch bắt đầu từ tháng 2/2025 và liên tục mở rộng. Tin tặc đăng ký hàng trăm tên miền mới mỗi ngày, đỉnh điểm là 511 tên miền được tạo vào ngày 20/3. Các tên miền giả mạo thường chứa từ như “confirmation”, “booking”, “guestverify” hoặc tên các khách sạn sang trọng nổi tiếng để tăng độ tin cậy. Điểm tinh vi là cơ chế chuyển hướng đa tầng: khi nhấp vào liên kết, người dùng bị dẫn qua nhiều bước trung gian, trước khi tới trang lừa đảo thật sự.

Tại trang đích, nạn nhân thấy giao diện xác nhận đặt phòng hoàn chỉnh, có logo thương hiệu và “mã CAPTCHA bảo mật” giả mạo. Sau bước này, trang yêu cầu nhập đầy đủ thông tin thẻ thanh toán và thậm chí kiểm tra tính hợp lệ của số thẻ trước khi âm thầm thực hiện giao dịch gian lận. Trang giả mạo còn hiển thị cửa sổ trò chuyện “hỗ trợ khách hàng” tự động, khuyến khích người dùng xác nhận tin nhắn SMS từ ngân hàng, nhưng thực tế đó là cảnh báo giao dịch bất thường do ngân hàng gửi. Netcraft cho biết hệ thống này hỗ trợ tới 43 ngôn ngữ, cho phép tấn công du khách toàn cầu, với khả năng tự động thay đổi logo và giao diện tùy theo nạn nhân.

Với hàng chục nghìn cơ sở lưu trú tại Việt Nam đang hoạt động trên các nền tảng đặt phòng trực tuyến, nguy cơ bị tấn công ngày càng lớn, nhất là khi nhiều bộ phận lễ tân hoặc đặt phòng chưa được đào tạo đầy đủ về an ninh mạng. Các email giả mạo có giao diện tinh vi khiến người nhận rất khó phân biệt thật - giả, đặc biệt trong giai đoạn nhu cầu đặt phòng tăng mạnh dịp Tết Dương lịch và Tết Nguyên đán sắp tới.

Các chuyên gia bảo mật khuyến cáo người dùng cảnh giác cao độ, kiểm tra kỹ địa chỉ email gửi đến; không mở tệp đính kèm, link lạ. Ưu tiên truy cập các nền tảng đặt phòng bằng ứng dụng hoặc trang chủ chính thức.

Đồng thời, việc triển khai hệ thống giám sát email, phần mềm diệt virus và giải pháp chống mã độc chuyên sâu là cần thiết, bởi các phần mềm bảo vệ mặc định trên hệ điều hành chỉ đáp ứng mức phòng vệ cơ bản, không thể chống lại các dòng virus, ransomware hiện đại có khả năng ẩn mình lâu dài.

Trung tâm Thông tin du lịch