Giả mạo Airbnb, Booking.com lừa đảo thẻ tín dụng quy mô lớn
Một chiến dịch lừa đảo (phishing) quy mô toàn cầu đang nhắm trực tiếp vào khách du lịch, sử dụng hơn 4.300 tên miền giả mạo các thương hiệu lớn như Airbnb, Booking.com và Agoda. Bằng cách gửi email xác nhận đặt phòng giả, tội phạm mạng dụ dỗ người dùng nhập thông tin thẻ tín dụng để đánh cắp.
Theo báo cáo từ công ty dịch vụ Internet Netcraft (Anh), một chiến dịch lừa đảo trực tuyến tinh vi đang được thực hiện nhắm vào những người đang lên kế hoạch du lịch hoặc chuẩn bị nhận phòng. Tội phạm mạng gửi hàng loạt email giả mạo các công ty du lịch uy tín như Airbnb, Booking.com, Expedia và Agoda để đánh cắp thông tin cá nhân và dữ liệu thẻ tín dụng.
Các email này được thiết kế chuyên nghiệp, sử dụng logo và bố cục giống hệt thư chính thức. Chúng thường tạo cảm giác cấp bách, yêu cầu người dùng “xác nhận đặt phòng trong vòng 24 giờ” để tránh bị hủy, khiến nạn nhân vội vàng hành động mà không kiểm tra kỹ.
Chiến dịch này bắt đầu từ tháng 2/2025 và liên tục mở rộng. Tin tặc đăng ký hàng trăm tên miền mới mỗi ngày, đỉnh điểm là 511 tên miền được tạo vào ngày 20/3. Các tên miền giả mạo thường chứa các cụm từ như “confirmation”, “booking”, “guestverify” hoặc sử dụng tên các khách sạn sang trọng nổi tiếng để tăng độ tin cậy.
Điểm tinh vi của chiến dịch là cơ chế chuyển hướng đa tầng. Khi nhấp vào liên kết, người dùng bị dẫn qua nhiều bước trung gian, trong đó có việc sử dụng nền tảng hợp pháp Blogspot (của Google), trước khi đến trang lừa đảo thật sự. Kỹ thuật này giúp chúng che giấu máy chủ điều hành và vượt qua nhiều bộ lọc an ninh.
Tại trang đích, nạn nhân thấy một giao diện xác nhận đặt phòng hoàn hảo, có logo thương hiệu và cả "mã CAPTCHA bảo mật" giả mạo. Sau khi "vượt qua" bước này, trang web yêu cầu nhập đầy đủ thông tin thẻ thanh toán. Hệ thống thậm chí còn kiểm tra tính hợp lệ của định dạng số thẻ trước khi âm thầm thực hiện giao dịch gian lận.
Đáng chú ý, trang giả mạo còn hiển thị một cửa sổ trò chuyện "hỗ trợ khách hàng" tự động. Cửa sổ này khuyến khích người dùng xác nhận các tin nhắn SMS từ ngân hàng, nhưng thực tế đó chính là các cảnh báo giao dịch bất thường mà ngân hàng gửi đến.
Theo Netcraft, hệ thống lừa đảo này hỗ trợ tới 43 ngôn ngữ, cho phép tấn công du khách toàn cầu. Chỉ với một hạ tầng, chúng có thể tự động thay đổi logo và giao diện (như Airbnb hay Booking.com) tùy thuộc vào nạn nhân mà chúng nhắm tới.
Các chuyên gia bảo mật cảnh báo chiến dịch vẫn đang tiếp diễn và có thể nhắm vào du khách Việt Nam. Người dùng được khuyến nghị tuyệt đối không nhấp vào liên kết trong email xác nhận đặt phòng. Thay vào đó, hãy truy cập trực tiếp trang web chính thức hoặc ứng dụng di động của nền tảng du lịch để kiểm tra thông tin. Luôn kích hoạt xác thực hai lớp (2FA) và kiểm tra tài khoản ngân hàng thường xuyên.
