Một chiến dịch tấn công mạng mới đang khiến giới chuyên gia lo ngại khi lợi dụng chính các cơ chế xác minh quen thuộc như CAPTCHA để đánh lừa người dùng. Thay vì đóng vai trò bảo vệ, những giao diện “xác minh bạn không phải robot” lại bị biến thành công cụ dẫn dụ, mở đường cho việc đánh cắp thông tin đăng nhập.
Từ xác minh bảo mật thành bẫy lừa đảo
Theo các phân tích từ giới nghiên cứu an ninh mạng, chiến dịch này sử dụng kỹ thuật được gọi là “ClickFix”. Kẻ tấn công tạo ra các trang web giả mạo với giao diện CAPTCHA quen thuộc, yêu cầu người dùng thực hiện một số thao tác như nhấp chuột, sao chép hoặc dán lệnh để “hoàn tất xác minh”.
Ảnh: Internet
Tuy nhiên, thay vì xác minh danh tính, các thao tác này thực chất kích hoạt mã độc hoặc dẫn người dùng đến các trang đăng nhập giả, nơi thông tin tài khoản bị thu thập mà nạn nhân không hề hay biết.
Điểm nguy hiểm nằm ở chỗ quy trình này đánh trúng thói quen sử dụng Internet của người dùng. CAPTCHA vốn là một bước xác minh phổ biến, nên khi thấy xuất hiện, đa số người dùng sẽ làm theo mà không nghi ngờ.
Kỹ thuật tấn công ngày càng “giống thật”
Không giống các hình thức lừa đảo thô sơ trước đây, các trang giả mạo trong chiến dịch này được thiết kế rất tinh vi. Từ giao diện, màu sắc cho đến cách hiển thị đều giống hệt các hệ thống xác minh hợp pháp, khiến người dùng gần như không thể phân biệt bằng mắt thường.
Đáng chú ý, sự phát triển của trí tuệ nhân tạo đang góp phần làm gia tăng mức độ nguy hiểm. AI có thể hỗ trợ tạo ra hình ảnh, giao diện và nội dung với độ chân thực cao, giúp các trang giả mạo trở nên thuyết phục hơn bao giờ hết. Trong nhiều trường hợp, ngay cả người dùng có kinh nghiệm cũng khó nhận ra dấu hiệu bất thường nếu chỉ dựa vào quan sát.
Điều này cho thấy một thực tế đáng lo ngại: công nghệ càng tiến bộ, ranh giới giữa thật và giả trên không gian mạng càng trở nên mong manh.
Đáng chú ý, sự phát triển của trí tuệ nhân tạo đang góp phần làm gia tăng mức độ nguy hiểm. AI có thể hỗ trợ tạo ra hình ảnh, giao diện và nội dung với độ chân thực cao, giúp các trang giả mạo trở nên thuyết phục hơn bao giờ hết. Trong nhiều trường hợp, ngay cả người dùng có kinh nghiệm cũng khó nhận ra dấu hiệu bất thường nếu chỉ dựa vào quan sát.
Điều này cho thấy một thực tế đáng lo ngại: công nghệ càng tiến bộ, ranh giới giữa thật và giả trên không gian mạng càng trở nên mong manh.
Đánh cắp thông tin theo chuỗi nhiều bước
Chiến dịch ClickFix không chỉ dừng lại ở một bước lừa đảo đơn giản mà được thiết kế theo nhiều giai đoạn. Sau khi người dùng tương tác với CAPTCHA giả, họ có thể bị chuyển hướng đến các trang đăng nhập giả mạo hoặc bị yêu cầu thực hiện thêm các thao tác khác.
Trong quá trình này, thông tin nhạy cảm như tài khoản, mật khẩu hoặc dữ liệu hệ thống có thể bị thu thập và gửi về máy chủ của kẻ tấn công. Một số trường hợp còn có nguy cơ bị cài mã độc, mở đường cho các hoạt động xâm nhập sâu hơn vào thiết bị.
Trong quá trình này, thông tin nhạy cảm như tài khoản, mật khẩu hoặc dữ liệu hệ thống có thể bị thu thập và gửi về máy chủ của kẻ tấn công. Một số trường hợp còn có nguy cơ bị cài mã độc, mở đường cho các hoạt động xâm nhập sâu hơn vào thiết bị.
Vì sao người dùng dễ mắc bẫy?
Các chuyên gia nhận định, điểm mấu chốt khiến chiến dịch này hiệu quả nằm ở yếu tố tâm lý. Người dùng đã quá quen với việc phải xác minh CAPTCHA khi truy cập website, nên thường không kiểm tra kỹ tính hợp lệ của trang.
Ngoài ra, giao diện được thiết kế giống thật cùng với các hướng dẫn rõ ràng khiến nạn nhân tin rằng mình đang thực hiện một thao tác bình thường. Khi kết hợp với công nghệ AI, mức độ “thuyết phục” của các trang giả mạo càng được nâng cao, khiến việc nhận diện trở nên khó khăn hơn.
Ngoài ra, giao diện được thiết kế giống thật cùng với các hướng dẫn rõ ràng khiến nạn nhân tin rằng mình đang thực hiện một thao tác bình thường. Khi kết hợp với công nghệ AI, mức độ “thuyết phục” của các trang giả mạo càng được nâng cao, khiến việc nhận diện trở nên khó khăn hơn.
Cảnh báo và khuyến nghị từ chuyên gia
Trước nguy cơ gia tăng của các hình thức tấn công kiểu mới, chuyên gia an ninh mạng khuyến cáo người dùng cần thận trọng khi gặp các yêu cầu xác minh bất thường. Đặc biệt, cần lưu ý:
- Không thực hiện các thao tác sao chép, dán lệnh hoặc tải tệp nếu không rõ nguồn gốc
- Kiểm tra kỹ địa chỉ website trước khi nhập thông tin đăng nhập
- Không cung cấp mật khẩu, mã OTP hoặc dữ liệu nhạy cảm trên các trang đáng ngờ
- Ưu tiên sử dụng xác thực hai yếu tố để tăng cường bảo mật tài khoản
Trong bối cảnh đó, việc nâng cao nhận thức và thói quen kiểm chứng thông tin trở thành yếu tố then chốt. Bởi trên không gian mạng, không phải lúc nào những gì “trông có vẻ an toàn” cũng thực sự an toàn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
