Điểm tin

Kaspersky: Gia tăng thư rác và lừa đảo thông qua "bẫy" khảo sát trực tuyến

P.V |

Theo Kaspersky, việc phát tán thư rác và lừa đảo vẫn gia tăng, thậm chí tinh vi hơn nhờ "ẩn nấp" trong lỗ hổng trên các form đăng ký, biểu mẫu, phiếu đánh giá trên website… của các công ty uy tín trên toàn cầu.

Cụ thể, nghiên cứu mới nhất từ Kaspersky cho thấy hoạt động phát tán thư rác và lừa đảo một cách tinh vi có dấu hiệu gia tăng. Một phương thức đang phổ biến là tin tặc lợi dụng lỗ hổng trên các form đăng ký, biểu mẫu, phiếu đánh giá trên website,… để chèn nội dung spam hoặc liên kết lừa đảo, và gửi dưới danh nghĩa email từ các công ty/tổ chức uy tín.

 Kaspersky, an ninh mạng, lừa đảo trực tuyến, Thư rác lừa đảo, khảo sát trực tuyến,

Theo Kaspersky, cách thức này tuy khá đơn giản nhưng lại rất hiệu quả, vì ngày nay, mọi công ty đều rất quan tâm đến những ý kiến phản hồi từ khách hàng để cải thiện chất lượng dịch vụ, đồng thời giữ chân khách hàng và nâng cao uy tín của doanh nghiệp. Để thực hiện điều này, các công ty khuyến khích khách hàng đăng ký tài khoản, nhận bản tin hoặc phản hồi qua biểu mẫu trên trang web bằng cách đặt câu hỏi hoặc đưa ra đề xuất. Cả ba cơ chế đều yêu cầu thông tin tên và địa chỉ email của khách hàng để họ có thể nhận được email xác nhận hoặc phản hồi. Những kẻ tấn công đã khai thác cơ chế này, bằng cách thêm nội dung spam và/hoặc liên kết lừa đảo vào email này.

Cụ thể, chúng chỉ cần điền email nạn nhân vào biểu mẫu đăng ký sau đó nhập nội dung chúng muốn gửi ở đầu thư. Sau đó, trang web sẽ gửi thư xác nhận đã chỉnh sửa đến email của nạn nhân, trong đó chứa liên kết quảng cáo hoặc nội dung lừa đảo ở đầu văn bản thay vì tên người nhận.

Đây cũng là một thách thức lớn cho doanh nghiệp vì thư rác hoặc email chứa nội dung độc hại được gửi dưới danh nghĩa của công ty, và vì thế làm tổn hại lòng tin của khách hàng đối với doanh nghiệp hay thậm chí có thể dẫn đến rò rỉ dữ liệu cá nhân của khách hàng.

Maria Vergelis, Chuyên gia bảo mật tại Kaspersky cho biết: “Hầu hết những ký tự được chỉnh sửa này được liên kết với các khảo sát trực tuyến để lấy dữ liệu cá nhân từ khách truy cập. Thông báo từ một đơn vị đáng tin cậy thường được bộ lọc nội dung của hệ thống bỏ qua, vì chúng là email chính thức từ đơn vị có uy tín. Đây là lý do tại sao cách thức tấn công gửi email spam dường như vô hại này lại tỏ ra rất hiệu quả và đáng lo ngại.”

Để đối phó với chiêu thức này của tội phạm mạng, chuyên gia của hãng bảo mật này đề xuất các công ty nên kiểm tra hoạt động phản hồi biểu mẫu trên trang web của công ty; Bổ sung một số quy tắc để báo lỗi khi phát hiện hành vi cố gắng đăng ký tên với các ký hiệu không phù hợp. Ngoài ra, nên tiến hành đánh giá lỗ hổng của trang web công ty.