Các tác nhân đe dọa đang ngày càng áp dụng các dịch vụ cloaking được hỗ trợ bởi trí tuệ nhân tạo (AI) để che giấu các tên miền lừa đảo (phishing domains), các trang thương mại điện tử giả mạo, và các điểm phân phối phần mềm độc hại khỏi các trình quét bảo mật tự động. Kỹ thuật này, được gọi là cloaking, liên quan đến việc phân phát động các “white pages” (trang trắng) vô hại cho các cơ chế phát hiện, đồng thời chuyển hướng người dùng hợp pháp đến các “black pages” (trang đen) độc hại.
Khai thác những tiến bộ trong kỹ thuật định danh trình duyệt JavaScript (JavaScript fingerprinting), thuật toán học máy (machine learning algorithms), và phân tích hành vi (behavioral profiling), các nền tảng Cloaking-as-a-Service (CaaS) này cho phép tội phạm mạng kéo dài vòng đời hoạt động của hạ tầng độc hại, trốn tránh bị gỡ bỏ và tối đa hóa khả năng tiếp cận nạn nhân. Ban đầu, cloaking bắt nguồn từ tiếp thị liên kết “mũ đen” (black-hat affiliate marketing) để lách các chính sách nền tảng. Tuy nhiên, kỹ thuật này đã phát triển thành một lớp phòng thủ cho các hoạt động lừa đảo, với việc nhóm Trust and Safety của Google đã nhấn mạnh sự phổ biến của nó vào cuối năm 2024 như một phương pháp để cản trở các hệ thống kiểm duyệt.
Cơ Chế Hoạt Động Của Cloaking-as-a-Service
Bằng cách tích hợp tính năng lọc lưu lượng truy cập theo thời gian thực, các dịch vụ CaaS phân tích hàng trăm thuộc tính của khách truy cập để phân loại và định tuyến lại các yêu cầu, đảm bảo rằng chỉ những người dùng mục tiêu mới tiếp cận được tải trọng độc hại. Các thuộc tính này bao gồm:
- Vị trí địa lý IP (IP geolocation)
- Chuỗi tác nhân người dùng (user-agent strings)
- Độ ngẫu nhiên của trình duyệt (browser entropy)
- Thông tin cấu hình phần cứng thiết bị (device hardware profiles)
- Độ trễ mạng (network latency)
Các nền tảng như Hoax Tech và JS Click Cloaker là những ví dụ điển hình cho xu hướng này, cung cấp các công cụ dựa trên đăng ký thuê bao để dân chủ hóa các chiến thuật né tránh tiên tiến.
Hoax Tech và Engine Matchex
Hoax Tech sử dụng một engine học máy độc quyền có tên Matchex. Engine này xử lý các dấu vân tay được tạo ra từ JavaScript trên hơn 100 điểm dữ liệu khác nhau. Các điểm dữ liệu này bao gồm:
- Độ phân giải màn hình (screen resolution)
- Các font chữ đã cài đặt (installed fonts)
- Độ lệch múi giờ (timezone offsets)
- Danh mục plugin trình duyệt (plugin inventories)
Hệ thống tự thích ứng này được xây dựng dựa trên một tập dữ liệu khổng lồ về các mẫu hành vi của khách truy cập để phát hiện các bất thường cho thấy sự hiện diện của bot hoặc trình thu thập dữ liệu (crawlers). Các dấu hiệu bất thường có thể bao gồm chữ ký trình duyệt không giao diện (headless browser signatures) hoặc thời gian tải trang không điển hình. Khi phát hiện lưu lượng truy cập đáng ngờ, Hoax Tech sẽ phục vụ một trang trắng vô hại. Trong khi đó, hệ thống sẽ chuyển hướng liền mạch người dùng đã được xác minh đến trang đen thông qua logic phía máy chủ (server-side logic) hoặc kịch bản phía máy khách (client-side scripting).
JS Click Cloaker: “Nền Tảng Bảo Mật Giao Thông Chống Đạn”
Tương tự, JS Click Cloaker, được quảng bá là một “nền tảng bảo mật giao thông chống đạn” (bulletproof traffic security platform), kiểm tra hơn 900 thông số trên mỗi phiên truy cập so với hàng tỷ điểm dữ liệu lịch sử. Nền tảng này tích hợp các quy tắc phỏng đoán (heuristic rules) cho vị trí địa lý, nguồn giới thiệu (referral sources), và các tín hiệu hành vi như độ ngẫu nhiên của chuyển động chuột (mouse movement entropy) hoặc độ chính xác tương tác CAPTCHA (CAPTCHA interaction fidelity).
Mặc dù tên gọi có vẻ tập trung vào JavaScript, công cụ này được báo cáo là giảm thiểu sự phụ thuộc vào JavaScript để tương thích với các môi trường như trình thu thập dữ liệu của Google. Thay vào đó, JS Click Cloaker nhấn mạnh vào các cây quyết định điều khiển bởi AI ở phần backend để thực thi việc lọc chi tiết.
Đối với tội phạm mạng, những tính năng này, có sẵn với mức phí thấp tới 100 USD mỗi tháng, đã biến việc triển khai các vụ lừa đảo thành một doanh nghiệp có khả năng mở rộng. Các dịch vụ này đi kèm với khả năng kiểm thử A/B (A/B testing) và tối ưu hóa lưu lượng truy cập để nâng cao tỷ lệ chuyển đổi trong các chiến dịch lừa đảo hoặc gian lận liên kết.
Cơ Chế Phân Phối Nội Dung Kép
Trọng tâm của kỹ thuật lừa đảo này là một cơ chế phân phối nội dung kép, khai thác những hạn chế của các trình quét URL tĩnh. Khi một bot bảo mật truy vấn một tên miền đã được cloaking, các script định danh của hệ thống sẽ đánh giá hồ sơ của nó. Nếu hồ sơ đó khớp với các đặc điểm giống bot, chẳng hạn như nguồn gốc từ dải IP của nhà cung cấp dịch vụ đám mây (cloud provider’s IP range) hoặc thiếu hỗ trợ sự kiện chạm (touch event support), nó sẽ nhận được một trang vô hại, thường là lỗi 404 chung chung hoặc nội dung giữ chỗ (placeholder content).
Ngược lại, khách truy cập là con người, được xác định thông qua các tín hiệu hành vi xác thực và các định danh quảng cáo như tham số gclid của Google, sẽ được chuyển tiếp đến trang đen độc hại. Trang đen này có thể chứa các biểu mẫu thu thập thông tin đăng nhập (credential-harvesting forms), các vụ lừa đảo tiền điện tử (cryptocurrency scams), hoặc các khai thác tấn công tự động (drive-by download exploits).
Kỹ thuật ngụy trang chọn lọc này không chỉ đánh bại khả năng phát hiện tự động mà còn cho phép các trang web duy trì hoạt động lâu hơn, khuếch đại phạm vi tiếp cận của các chiến dịch dựa trên spam và việc phát tán phần mềm độc hại.
Chống Lại Các Mối Đe Dọa Cloaking Tăng Cường Bởi AI
Các nhà nghiên cứu và công ty bảo mật đang đối phó với những mối đe dọa được tăng cường bởi AI này thông qua các mô hình phát hiện đổi mới:
- Phân tích hành vi thời gian thực trong môi trường trình duyệt sandbox: Các công cụ như SlashNext đã triển khai phương pháp này để mô phỏng các tương tác giống con người nhằm kích hoạt việc tiết lộ trang đen. Chúng theo dõi các thay đổi nội dung động (dynamic content swaps) hoặc chuyển hướng trong quá trình thực thi runtime.
- Quét vi sai (differential scanning) từ nhiều điểm quan sát: Phương pháp này thay đổi nguồn IP, mô phỏng thiết bị và vị trí địa lý để phơi bày sự không nhất quán. Khi các phản hồi khác nhau, điều đó là một dấu hiệu của cloaking.
- Các chỉ báo phỏng đoán (heuristic indicators): Các chỉ báo như mã định danh quá mức (excessive fingerprinting code) hoặc các truy vấn máy chủ bất thường (anomalous server queries) hỗ trợ thêm trong việc xác định. Điều này cho phép các nguồn cấp dữ liệu tình báo mối đe dọa chủ động (proactive threat intelligence feeds) phá hủy các hạ tầng này mặc dù chúng có khả năng phòng thủ thích ứng.
