Bộ lọc thư rác (spam filter) đã giúp người dùng internet loại bỏ đáng kể các email độc hại khỏi hộp thư đến, nhưng chúng không hoàn toàn là “bất khả xâm phạm”. Nếu bạn cần một lý do để luôn cảnh giác khi mở email, ngay cả khi chúng đã vượt qua các lớp bảo mật, thì các cuộc tấn công email salting chính là minh chứng rõ ràng nhất. Đây là một kỹ thuật lừa đảo công nghệ cao mà bất kỳ ai cũng cần nắm rõ để tự bảo vệ mình.
Email Salting Attacks Là Gì và Cách Chúng “Đánh Lừa” Bộ Lọc Thư Rác
Theo báo cáo từ Cisco Talos, các cuộc tấn công email salting (hay còn gọi là “ướp muối email”) cho phép kẻ lừa đảo “luồn lách” qua các bộ lọc thư rác và đưa email giả mạo vào hộp thư đến của bạn. Chúng hoạt động bằng cách chèn các đoạn văn bản “rác” (junk text) vào nội dung email. Những đoạn văn bản này được thiết kế để gây nhầm lẫn cho các công cụ kiểm tra thư rác tự động, trong khi lại được hiển thị theo cách mà người đọc thông thường không thể nhìn thấy.
Khi một bộ lọc spam kiểm tra email, nó sẽ phân tích mã HTML của email để hiểu nội dung. Người đọc, tức là bạn, không trực tiếp nhìn thấy mã HTML đó; thay vào đó, bạn thấy những gì trình duyệt hiển thị sau khi đã xử lý toàn bộ đoạn mã thành định dạng dễ đọc hơn. Đây chính là kẽ hở mà kỹ thuật email salting khai thác.
Ví dụ về cách chèn văn bản rác (junk text) vào giữa các từ trong tấn công email salting để đánh lừa bộ lọc thư rác, theo báo cáo của Cisco Talos.
Email salting hoạt động bằng cách thêm văn bản rác vào giữa các từ trong email để phá vỡ cấu trúc “nhận diện” của bộ lọc thư rác. Bằng cách đó, bộ lọc sẽ không “thấy” được ý định thực sự của kẻ lừa đảo. Tuy nhiên, những kẻ tấn công sử dụng các thủ thuật tinh vi để đảm bảo rằng đoạn văn bản rác này không hiển thị khi bạn đọc email, chỉ để lại những từ mà chúng muốn bạn thấy.
Cơ Chế “Ngụy Trang” Tinh Vi của Salting Attacks Qua Các Ví Dụ Thực Tế
Kỹ Thuật Chèn Văn Bản “Zero Width” (Độ Rộng Bằng 0)
Một ví dụ điển hình được Cisco Talos phát hiện là khi kẻ lừa đảo muốn giả mạo một thương hiệu lớn như Wells Fargo. Nếu chúng chỉ đơn thuần viết “Wells Fargo”, bộ lọc spam sẽ dễ dàng phát hiện và chặn. Thay vào đó, kẻ lừa đảo đã chèn các ký tự “rác” vào giữa các từ “Wells” và “Fargo”, sau đó thiết lập cho các ký tự thêm vào này có độ rộng bằng không (zero width).
Khi bộ lọc thư rác quét email, nó sẽ thấy một chuỗi ký tự hỗn độn như thế này:
WEqcvuilLLS FAroyawdRGONhưng vì văn bản rác có độ rộng bằng không, nó sẽ không hiển thị khi bạn đọc email, để lại cho bạn một dòng chữ hoàn chỉnh:
WELLS FARGOBằng cách này, kẻ lừa đảo có thể mạo danh Wells Fargo mà không bị bộ lọc spam phát hiện.
Sử Dụng Ký Tự Zero-Width Space (ZWSP) và Non-Joiner (ZWNJ)
Một ví dụ khác liên quan đến việc kẻ lừa đảo thêm các ký tự Zero-Width Space (ZWSP – ký tự khoảng trắng có độ rộng bằng 0) và Zero-Width Non-Joiner (ZWNJ – ký tự không hiển thị, không nối các ký tự liền kề) vào giữa mỗi chữ cái trong một từ. Vì chúng vẫn là các ký tự, bộ lọc thư rác sẽ đọc chúng khi đánh giá xem email có phải là spam hay không. Tuy nhiên, do các ký tự này đại diện cho không gian bằng 0, chúng không hiển thị khi email được hiển thị, nghĩa là bạn vẫn thấy từ đó một cách bình thường mà không có bất kỳ khoảng trống hay gián đoạn nào.
Luôn Cảnh Giác: Chìa Khóa Bảo Vệ Bạn Khỏi Các Mối Đe Dọa Email
Những ví dụ trên đã minh chứng rõ ràng rằng bạn không bao giờ nên tin tưởng mù quáng vào một email, ngay cả khi nó đã “né” được bộ lọc spam và đến được hộp thư của bạn. Luôn luôn kiểm tra kỹ người gửi và nội dung trước khi nhấp vào bất kỳ liên kết đáng ngờ nào. Để nâng cao khả năng tự vệ, hãy tìm hiểu thêm về các dấu hiệu nhận biết email lừa đảo (phishing) và gian lận trực tuyến để bảo vệ thông tin và tài sản của mình một cách tốt nhất. Hãy luôn là người dùng công nghệ thông thái và cẩn trọng!
