Thời gian qua, người dùng mạng xã hội chưa kịp hết bàng hoàng trước các vụ lừa đảo tinh vi liên quan đến “hợp đồng kỳ nghỉ” hay “việc nhẹ lương cao”, thì một cái bẫy mới mang tên độc quyền công nghệ đã xuất hiện. Theo báo cáo bảo mật mới nhất từ Microsoft Threat Intelligence, chiến dịch lừa đảo sử dụng kỹ nghệ thao túng tâm lý (social engineering) mang tên ClickFix (mã nhận diện mã độc: Trojan:Win32/ClickFix.SEC) đang bùng phát với quy mô hàng nghìn thiết bị bị tấn công mỗi ngày.
Điểm đáng sợ của ClickFix không nằm ở những phần mềm virus chạy ngầm phức tạp, mà đánh thẳng vào thói quen tự sửa lỗi máy tính và tâm lý tin tưởng vào các thông báo hệ thống của người dùng.
Cái bẫy "Xác minh bạn là con người" tinh vi
Hãy tưởng tượng bạn đang lướt web giải trí, tìm kiếm tài liệu làm việc, hoặc truy cập các trang dịch vụ như Booking.com, Facebook. Bất ngờ, màn hình hiện ra một bảng thông báo quen thuộc: “Xác minh bạn là con người (CAPTCHA)” hoặc “Trình duyệt lỗi, vui lòng nhấn vào đây để sửa lỗi hiển thị”.
Giao diện bẫy xác minh Captcha của Clickfix lừa người dùng tự thực hiện lệnh hệ thống. (Ảnh: Microsoft)
Thay vì bắt bạn chọn hình ảnh xe buýt hay đèn giao thông như thông thường, hệ thống giả mạo này sẽ hiện ra 3 bước hướng dẫn trông cực kỳ "kỹ thuật" và uy tín:
1. Bấm tổ hợp phím Windows + R (hoặc mở Terminal trên Macbook).
2. Nhấp chuột phải để Dán (Paste) đoạn mã đã tự động sao chép vào khay nhớ tạm.
3. Nhấn Enter để hoàn tất.
Vì bảng thông báo được thiết kế đồ họa y hệt như của Google reCAPTCHA, Microsoft Word Online hay hệ thống của tổng đài quốc gia, người dùng phổ thông thường không mảy may nghi ngờ. Họ làm theo với suy nghĩ đơn giản: "Chắc máy tính bị lỗi font hoặc lỗi kết nối chút thôi".
Tại sao nó nguy hiểm hơn các hình thức cũ?
Nếu như các thủ đoạn cũ buộc hacker phải gửi file đính kèm chứa virus (thường bị các phần mềm diệt virus chặn đứng lập tức), thì ClickFix đã đi một con đường khôn ngoan hơn: Biến chính người dùng thành "lớp thực thi".
Cơ chế qua mặt bảo mật: Đoạn mã mà bạn copy-paste thực chất là một lệnh PowerShell hoặc lệnh hệ thống điều khiển từ xa. Khi bạn nhấn Enter, bạn đã chính thức cấp quyền tối cao cho máy tính tự động kết nối với máy chủ của hacker để tải về các dòng mã độc nguy hiểm như Vidar Stealer, Lumma Stealer hay ModeloRAT.
Hệ thống phòng thủ của máy tính (EDR/Antivirus) hoàn toàn bị "bịt mắt" ở giai đoạn đầu, vì hành động mở lệnh và dán mã là do chính chủ nhân chiếc máy thực hiện một cách chủ động, hoàn toàn không phải do virus xâm nhập trái phép.
Sau khi "lọt lưới", kẻ gian có thể:
1. Đánh cắp toàn bộ tài khoản: Lấy sạch mật khẩu lưu trong Chrome, cookies mạng xã hội, thông tin ví điện tử, và đặc biệt là tài khoản ngân hàng e-banking.
2. Thay thế ứng dụng ví điện tử: Microsoft ghi nhận nhiều trường hợp mã độc này âm thầm xóa ứng dụng ví crypto chính chủ trên máy và thay bằng một phiên bản giả mạo để rút cạn tiền khi người dùng giao dịch.
3. Theo dõi và tống tiền: Chiếm quyền điều khiển máy tính từ xa để biến máy của nạn nhân thành công cụ đào tiền ảo hoặc mã hóa dữ liệu đòi tiền chuộc.
Ai là mục tiêu hàng đầu?
Theo ghi nhận từ các chuyên gia an ninh mạng, đối tượng mà ClickFix nhắm tới trong nửa đầu năm nay rất rộng, từ những người làm văn phòng, nhân viên ngành khách sạn (bị lừa qua các email giả mạo Booking.com đòi xử lý phản hồi tiêu cực của khách), cho đến người dùng phổ thông thích tìm kiếm các phần mềm "bẻ khóa" (crack) miễn phí trên mạng hoặc đọc các bài hướng dẫn sửa lỗi máy tính trên các nền tảng blog như Medium.
Các chiến dịch ClickFix được ghi nhận nhắm mục tiêu trên diện rộng, không giới hạn ở một ngành nghề hay nhóm người dùng cụ thể. (Ảnh minh họa)
Máy tính chạy hệ điều hành Windows lẫn macOS (Macbook) đều nằm trong tầm ngắm của chiến dịch này.
Bộ nguyên tắc "sống còn" để không trở thành nạn nhân
Để tự bảo vệ mình và người thân trước làn sóng lừa đảo công nghệ cao này, các chuyên gia bảo mật từ Microsoft khuyến nghị người dùng áp dụng ngay các quy tắc sau:
1.Tuyệt đối không Copy - Paste các đoạn mã lạ: Không bao giờ thực hiện việc sao chép bất kỳ dòng lệnh nào từ một trang web không rõ nguồn gốc và dán vào cửa sổ Run (Windows + R), PowerShell hoặc Terminal. Các hệ thống xác thực con người (CAPTCHA) hợp pháp không bao giờ yêu cầu người dùng phải gõ lệnh hệ thống.
2. Chậm lại một nhịp trước các thông báo khẩn cấp: Kẻ gian luôn đánh vào tâm lý hoang mang, tạo ra các đồng hồ đếm ngược hoặc cảnh báo "tài khoản bị khóa sau 5 phút" để ép bạn hành động vội vã mà bỏ qua lý trí.
3. Luôn quét lại hệ thống nếu nghi ngờ: Nếu lỡ tay bấm nhầm, hãy lập tức ngắt kết nối Internet của thiết bị, sử dụng tính năng Microsoft Defender Offline Scan hoặc các phần mềm diệt virus uy tín để quét sâu toàn bộ máy. Đồng thời, dùng một thiết bị sạch khác để đổi toàn bộ mật khẩu các tài khoản quan trọng ngay lập tức.
Thời đại công nghệ số, một cú click chuột sai lầm có thể trả giá bằng toàn bộ tài sản tích cóp. Hãy chia sẻ thông tin này đến người thân, đặc biệt là những người không quá am hiểu về công nghệ, để cùng nhau xây dựng một bộ "bảo trì" an toàn cho cuộc sống số của chính mình.
Hoặc