Chiến dịch lừa đảo du lịch lớn nhất năm 2025 với hơn 4.300 tên miền

Một chiến dịch lừa đảo trực tuyến quy mô lớn đang được tội phạm mạng thực hiện nhắm đến ngành du lịch, bằng cách sử dụng hơn 4.300 tên miền giả mạo các thương hiệu du lịch nổi tiếng để đánh cắp thông tin thẻ của người dùng.

Chiến dịch lừa đảo tinh vi đội lốt các thương hiệu du lịch lớn

Các nhà nghiên cứu bảo mật của Netcraft - Công ty dịch vụ Internet có trụ sở tại London, Anh vừa phát hiện một chiến dịch phishing (lừa đảo trực tuyến) quy mô toàn cầu, được thiết kế nhắm vào những người đang lên kế hoạch du lịch hoặc chuẩn bị nhận phòng khách sạn.

Bằng cách gửi hàng loạt email xác nhận đặt phòng giả mạo các công ty uy tín như Airbnb, Booking.com, Expedia và Agoda, tin tặc nhắm đến việc đánh cắp thông tin cá nhân và dữ liệu thẻ tín dụng của nạn nhân.

Hàng triệu người dùng có thể bị đánh cắp thông tin thông qua các trang web hoặc thư giả mạo (nguồn: internet).

Những email này được soạn thảo chuyên nghiệp, có logo và bố cục giống hệt email chính thức của các nền tảng đặt phòng. Nội dung thường cảnh báo rằng, người dùng cần “xác nhận đặt phòng trong vòng 24 giờ” để tránh bị hủy, tạo cảm giác cấp bách khiến nạn nhân hành động vội vàng mà không kiểm tra kỹ.

Khi người dùng nhấp vào liên kết trong email, họ sẽ bị dẫn qua một chuỗi chuyển hướng phức tạp trước khi đến trang web lừa đảo. Hệ thống này giúp tin tặc che giấu dấu vết, khiến các công cụ bảo mật khó phát hiện và ngăn chặn.

Chiến dịch tấn công này được phát hiện bắt đầu hoạt động từ tháng 2/2025 với quy mô ngày càng mở rộng. Tin tặc đăng ký hàng trăm tên miền mới mỗi ngày, trong đó, ngày 20/3/2025 ghi nhận tới 511 tên miền được tạo cùng lúc.

Các tên miền này có cấu trúc tương tự nhau, thường chứa các cụm từ như “confirmation”, “booking”, “guestverify”, “cardverify” hay “reservation”, kết hợp với dãy số ngẫu nhiên để tăng độ tin cậy.

Bên cạnh đó, nhiều tên miền còn sử dụng tên của các khách sạn sang trọng hoặc boutique nổi tiếng, khiến người dùng dễ nhầm tưởng rằng họ đang giao dịch với một đơn vị thật.

Tin tặc chủ yếu sử dụng 4 nhà đăng ký tên miền gồm WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri A.S. và MAT BAO Corporation.

Cơ chế tấn công phức tạp với khả năng ẩn mình cao

Điểm nổi bật của chiến dịch là chuỗi chuyển hướng đa tầng, khiến quá trình truy vết và chặn đứng trở nên cực kỳ khó khăn. Khi người dùng bấm vào nút “Confirm Booking” trong email giả, họ không được đưa ngay tới trang lừa đảo mà đi qua nhiều tầng trung gian.

Bước đầu, liên kết dẫn đến một tên miền cũ (được đăng ký từ năm 2016), sau đó chuyển hướng đến một blog trên nền tảng Blogspot của Google, rồi mới tiếp tục dẫn người dùng đến trang phishing thật sự.

Việc tận dụng các nền tảng hợp pháp như Blogspot giúp kẻ tấn công vượt qua các bộ lọc an ninh và tạo cảm giác “an toàn” cho nạn nhân vì thấy địa chỉ liên kết nằm trên dịch vụ của Google. Chuỗi chuyển hướng nhiều lớp cũng khiến khó lần ra máy chủ chính điều hành chiến dịch.

Trang web giả mạo có giao diện giống như một trang đặt phòng khách sạn trực tuyến (nguồn: Netcraft).

Khi tới trang cuối cùng, người dùng nhìn thấy giao diện xác nhận đặt phòng gần như hoàn hảo, có logo của các thương hiệu du lịch nổi tiếng và thậm chí xuất hiện “bảo mật Cloudflare CAPTCHA” giả mạo.

Dù trông như thật, phần CAPTCHA này không hoạt động mà chỉ nhằm tăng độ tin cậy cho trang. Sau khi “vượt qua” bước xác minh, nạn nhân được yêu cầu nhập đầy đủ thông tin thẻ thanh toán gồm tên chủ thẻ, số thẻ, mã CVV và ngày hết hạn.

Hệ thống sẽ thực hiện kiểm tra định dạng số thẻ (Luhn check) để đảm bảo hợp lệ, rồi âm thầm kích hoạt các giao dịch gian lận ở nền sau.

Đáng chú ý, trang web còn hiển thị một cửa sổ trò chuyện “hỗ trợ khách hàng” giả, gửi tin nhắn tự động khuyến khích người dùng xác nhận tin nhắn SMS từ ngân hàng - thực tế là các cảnh báo gian lận thật do ngân hàng gửi khi phát hiện giao dịch bất thường.

Theo Netcraft, “phishing kit” này được xây dựng rất tinh vi, hỗ trợ tới 43 ngôn ngữ khác nhau, cho phép tấn công người dùng toàn cầu. Hệ thống còn gửi dữ liệu bàn phím của người dùng về máy chủ tin tặc gần như theo thời gian thực, với tần suất một giây/lần.

Một chi tiết kỹ thuật đặc biệt là mỗi liên kết tấn công chứa một mã định danh “AD_CODE”, xác định thương hiệu du lịch mà trang lừa đảo sẽ giả mạo. Nhờ vậy, chỉ cần một hạ tầng duy nhất, nhóm tin tặc có thể vận hành đồng thời nhiều chiến dịch nhắm vào các thương hiệu khác nhau, mỗi nạn nhân sẽ thấy giao diện và logo phù hợp với trang mà họ tin rằng mình đã đặt phòng.

Cảnh báo và khuyến nghị

Các chuyên gia bảo mật cảnh báo rằng, chiến dịch tấn công này vẫn đang tiếp tục mở rộng và có thể nhắm vào người dùng tại nhiều quốc gia, trong đó có Việt Nam. Sự chuyên nghiệp của giao diện, kết hợp với tâm lý nôn nóng khi chuẩn bị du lịch, khiến nhiều người dễ mắc bẫy.

Người dùng được khuyến nghị không nhấp vào bất kỳ liên kết nào trong email xác nhận đặt phòng nếu chưa kiểm tra kỹ địa chỉ người gửi. Thay vì làm theo hướng dẫn trong email, hãy truy cập trực tiếp vào trang web chính thức của các nền tảng du lịch hoặc ứng dụng di động để xác minh thông tin đặt phòng.

Ngoài ra, các tổ chức tài chính cần tăng cường hệ thống phát hiện giao dịch bất thường, trong khi người dùng nên kích hoạt xác thực hai lớp (2FA) và thường xuyên kiểm tra biến động tài khoản để kịp thời phát hiện các giao dịch trái phép.

Các chuyên gia nhận định, với hơn 4.300 tên miền được tạo lập, đây là một trong những chiến dịch phishing lớn nhất trong lĩnh vực du lịch từng được ghi nhận. Mức độ tinh vi của nó cho thấy, tội phạm mạng ngày càng đầu tư chuyên nghiệp, biến các trang giả mạo trở nên gần như không thể phân biệt bằng mắt thường./.