Lừa đảo du lịch đang nhắm tới các khách sạn, homestay

Các nhà nghiên cứu bảo mật của Netcraft - công ty dịch vụ Internet có trụ sở tại London - vừa phát hiện một chiến dịch lừa đảo trực tuyến quy mô toàn cầu, được thiết kế nhắm vào những người đang lên kế hoạch du lịch hoặc chuẩn bị nhận phòng khách sạn.

Bằng cách gửi hàng loạt email xác nhận đặt phòng giả mạo các công ty uy tín như Airbnb, Booking.com, Expedia và Agoda, tin tặc nhắm đến việc đánh cắp thông tin cá nhân và dữ liệu thẻ tín dụng của nạn nhân.

Những email này được soạn thảo chuyên nghiệp, có logo và bố cục giống hệt email chính thức của các nền tảng đặt phòng. Nội dung thường cảnh báo rằng người dùng cần “xác nhận đặt phòng trong vòng 24 giờ” để tránh bị hủy. Điều này tạo cảm giác cấp bách khiến nạn nhân hành động vội vàng mà không kiểm tra kỹ.

Khi người dùng nhấp vào liên kết trong email, họ sẽ bị dẫn qua một chuỗi chuyển hướng phức tạp trước khi đến trang web lừa đảo. Hệ thống này giúp tin tặc che giấu dấu vết, khiến các công cụ bảo mật khó phát hiện và ngăn chặn.

Theo trang Which, tin tặc đăng ký hàng trăm tên miền mới mỗi ngày. Chẳng hạn, chỉ tính riêng ngày 20/3/2025 đã ghi nhận tới 511 tên miền được tạo cùng lúc. Các tên miền này có cấu trúc tương tự nhau, thường chứa các cụm từ như “confirmation”, “booking”, “guestverify”, “cardverify” hay “reservation”, kết hợp với dãy số ngẫu nhiên để tăng độ tin cậy.

Bên cạnh đó, nhiều tên miền còn sử dụng tên của các khách sạn sang trọng hoặc boutique nổi tiếng, khiến người dùng dễ nhầm tưởng rằng họ đang giao dịch với một đơn vị thật. Tin tặc chủ yếu sử dụng 4 nhà đăng ký tên miền gồm WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri A.S. và MAT BAO Corporation.

Điểm nổi bật của chiến dịch là chuỗi chuyển hướng đa tầng, khiến quá trình truy vết và chặn đứng trở nên cực kỳ khó khăn. Khi tới trang cuối cùng, người dùng thậm chí còn nhìn thấy giao diện xác nhận đặt phòng gần như hoàn hảo, có logo của các thương hiệu du lịch nổi tiếng và thậm chí xuất hiện “bảo mật Cloudflare CAPTCHA” giả mạo.

Dù trông như thật, phần CAPTCHA này không hoạt động mà chỉ nhằm tăng độ tin cậy cho trang. Sau khi “vượt qua” bước xác minh, nạn nhân được yêu cầu nhập đầy đủ thông tin thẻ thanh toán gồm tên chủ thẻ, số thẻ, mã CVV và ngày hết hạn. Hệ thống sẽ thực hiện kiểm tra định dạng số thẻ để đảm bảo hợp lệ, rồi âm thầm kích hoạt các giao dịch gian lận.

Trang giả mạo còn hiển thị cửa sổ trò chuyện hỗ trợ khách hàng tự động, khuyến khích người dùng xác nhận tin nhắn SMS từ ngân hàng, nhưng thực tế đó là cảnh báo giao dịch bất thường do ngân hàng gửi. Netcraft cho biết, hệ thống này hỗ trợ tới 43 ngôn ngữ, cho phép tấn công du khách toàn cầu, với khả năng tự động thay đổi logo và giao diện tùy theo nạn nhân. 

Tại Việt Nam, Cục Du lịch Quốc gia Việt Nam mới đây cũng khuyến cáo, hiện có một chiến dịch lừa đảo qua mạng mang tên ClickFix đang lan rộng và nhắm trực tiếp tới các khách sạn, homestay, resort và cơ sở lưu trú tại Việt Nam. Hình thức tấn công chủ yếu dựa trên việc giả mạo email của các nền tảng đặt phòng phổ biến như: Booking.com, Expedia…

Theo Cục Du lịch Quốc gia Việt Nam, tin tặc gửi email với các tiêu đề quen thuộc như: xác nhận đặt phòng, khiếu nại khách hàng, cập nhật thanh toán, hủy đặt phòng… được thiết kế gần như giống hoàn toàn email thật.

Trong email thường kèm theo liên kết hoặc file Excel giả hóa đơn/thông tin đặt phòng chứa mã độc. Chỉ cần người dùng nhấp vào liên kết hoặc mở tệp đính kèm, mã độc lập tức kích hoạt, cho phép kẻ tấn công chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu, theo dõi hoạt động, thậm chí xâm nhập sâu vào hệ thống nội bộ.

Nghiên cứu của các chuyên gia Bkav cho biết, ClickFix sử dụng PureRAT - một loại mã độc điều khiển từ xa cho phép tin tặc theo dõi người dùng, đánh cắp tài khoản, mở rộng tấn công và ẩn náu lâu dài. Đáng chú ý, chiến dịch có dấu hiệu vận hành dưới mô hình “Attack-as-a-Service”, nghĩa là bất kỳ đối tượng nào cũng có thể mua công cụ và tiến hành tấn công mà không cần trình độ kỹ thuật cao, khiến mức độ nguy hiểm gia tăng.

Cục Du lịch Quốc gia Việt Nam nhận định, với hàng chục nghìn cơ sở lưu trú tại Việt Nam đang hoạt động trên các nền tảng đặt phòng trực tuyến, nguy cơ bị tấn công ngày càng lớn, nhất là khi nhiều bộ phận lễ tân hoặc đặt phòng chưa được đào tạo đầy đủ về an ninh mạng.

Ngoài ra, thời gian gần đây, nhiều đối tượng xấu đã thực hiện hành vi lừa đảo thông qua hình thức “chuyển nhượng gói/tour du lịch”. Thủ đoạn này đang lan rộng trên các nền tảng mạng xã hội như Facebook, Zalo, TikTok, Instagram…

Đối tượng thường giả mạo là khách đã đặt tour tại các công ty du lịch uy tín, sau đó đăng bài với nội dung “cần chuyển nhượng gấp vì bận việc”, đi kèm lời chào giá thấp hơn thị trường từ 30 - 50%. Để tạo lòng tin, chúng đăng kèm hóa đơn giả, hình ảnh tour và cả phản hồi “ảo” từ những người từng “mua tour thành công”.

Ở bước đầu, chúng thường mời chào các gói nhỏ, hoàn trả tiền sớm để tạo niềm tin. Khi nạn nhân bắt đầu tin tưởng, chúng dụ mua các gói “VIP”, “tour nước ngoài”... Sau khi chiếm đoạt số tiền lớn, đối tượng tìm cách trì hoãn, viện lý do “chờ kích hoạt gói”, rồi nhanh chóng chặn liên lạc, xóa bài, thoát nhóm.

Do đó, các chuyên gia bảo mật khuyến cáo người dùng cảnh giác cao độ, kiểm tra kỹ địa chỉ email gửi đến; không mở tệp đính kèm, link lạ. Ưu tiên truy cập các nền tảng đặt phòng bằng ứng dụng hoặc trang chủ chính thức.

Việc triển khai hệ thống giám sát email, phần mềm diệt virus và giải pháp chống mã độc là cần thiết. Bởi các phần mềm bảo vệ mặc định trên hệ điều hành chỉ đáp ứng mức phòng vệ cơ bản, không thể chống lại các dòng virus, ransomware hiện đại có khả năng ẩn mình lâu dài.

Trong khi đó, cơ quan an ninh cũng khuyến cáo người dân không cài đặt các ứng dụng lạ vào điện thoại, máy tính có liên kết với tài khoản ngân hàng. Không công khai thông tin cá nhân trên mạng xã hội.

Người dân không quét mã QR hoặc truy cập đường link khi chưa xác minh rõ nguồn gốc. Tuyệt đối không cung cấp thông tin tài khoản ngân hàng, mã OTP, mã CVV cho bất kỳ ai. Khi có dấu hiệu nghi vấn, người dân cần liên hệ ngay với công an hoặc ngân hàng qua kênh chính thức để được hướng dẫn.