Ngày Amazon Prime Day 2025 cận kề, thu hút hàng triệu khách hàng trực tuyến tìm kiếm các chương trình giảm giá và ưu đãi độc quyền. Tuy nhiên, sự kiện mua sắm toàn cầu này đồng thời trở thành mục tiêu chính cho các tội phạm mạng.
Chỉ trong tháng 6, hơn 1.000 tên miền mới đã được đăng ký nhằm giả mạo thương hiệu của Amazon. Đáng báo động, 87% trong số các tên miền này đã bị gắn cờ là độc hại hoặc đáng ngờ. Nhiều tên miền trong số đó kết hợp các cụm từ như “Amazon Prime” để lừa gạt người dùng, dẫn họ đến các trang web lừa đảo.
Sự gia tăng có tổ chức trong hoạt động spam tên miền và các cuộc tấn công phishing được thiết kế để lợi dụng mức độ hoạt động trực tuyến cao điểm trong thời gian Prime Day. Điều này đặt hàng triệu người mua sắm không nghi ngờ vào rủi ro bị đánh cắp dữ liệu và thiệt hại tài chính.
Chiến Thuật Tấn Công Chính
Tạo Lập Tên Miền Giả Mạo (Counterfeit Domains)
Tội phạm mạng đang áp dụng các kỹ thuật tinh vi để tận dụng sự sôi động của Prime Day, chủ yếu thông qua việc tạo ra các tên miền giả mạo và email lừa đảo. Các trang web gian lận như “Amazon02atonline51[.]online” và “amazon-2025[.]top” được xây dựng tỉ mỉ để sao chép giao diện trang đăng nhập và thanh toán chính thức của Amazon. Các trang này thường nhắm mục tiêu vào các nhóm đối tượng cụ thể, ví dụ như khách hàng ở Đức.
Theo báo cáo từ Check Point Research, các trang phishing này nhằm mục đích thu thập thông tin nhạy cảm, bao gồm thông tin đăng nhập và dữ liệu cá nhân. Việc chiếm đoạt các thông tin này có thể dẫn đến các giao dịch mua trái phép, đánh cắp danh tính và gian lận thẻ quà tặng.
Tấn Công Qua Email Lừa Đảo (Phishing Emails)
Song song với việc tạo tên miền giả mạo, các email lừa đảo với tiêu đề như “Refund Due – Amazon System Error” giả mạo các thông báo hợp pháp từ Amazon. Chúng lừa người nhận nhấp vào các liên kết độc hại, sau đó chuyển hướng họ đến các trang đăng nhập giả mạo.
Một chiến dịch bị chặn đứng bởi Check Point Research đã dẫn người dùng đến một trang web lừa đảo được lưu trữ tại “https://cloud-service-care[.]com”. Điều này nhấn mạnh sự tinh vi và các chiến thuật gây áp lực khẩn cấp được sử dụng để buộc nạn nhân phải hành động ngay lập tức.
Các cuộc tấn công này khai thác tâm lý con người bằng cách tạo ra cảm giác hoảng loạn giả mạo xung quanh các vấn đề tài khoản hoặc lỗi hoàn tiền, khiến ngay cả những người dùng thận trọng cũng dễ bị lừa dối trong giai đoạn mua sắm căng thẳng này.
Cơ Chế Kỹ Thuật Của Các Vụ Lừa Đảo
Domain Spoofing và Social Engineering
Các cơ chế kỹ thuật đằng sau những vụ lừa đảo này thường bắt nguồn từ domain spoofing (giả mạo tên miền) và social engineering (kỹ thuật xã hội). Các tác nhân độc hại đăng ký các tên miền với các lỗi chính tả tinh vi, dấu gạch nối, hoặc sử dụng các tên miền cấp cao nhất (TLD) ít phổ biến như .top hoặc .online. Những chi tiết nhỏ này có thể dễ dàng bị người mua sắm vội vàng bỏ qua.
Mục đích của việc sử dụng các TLD ít phổ biến là để giảm chi phí đăng ký, tránh bị phát hiện bởi các hệ thống bảo mật tự động quen thuộc với các TLD thông thường (.com, .org), và tăng khả năng người dùng không chú ý đến sự khác biệt.
Kỹ thuật xã hội được áp dụng thông qua việc tạo ra các thông điệp có vẻ khẩn cấp hoặc hấp dẫn không tưởng, nhằm thúc đẩy nạn nhân hành động mà không suy nghĩ kỹ. Ví dụ, thông báo về “lỗi hệ thống” hoặc “hoàn tiền” tạo ra áp lực tâm lý để người dùng cung cấp thông tin cá nhân hoặc thông tin đăng nhập.
Kỹ Thuật Thu Thập Dữ Liệu
Một khi người dùng truy cập vào các trang web lừa đảo này, các script độc hại có thể được kích hoạt. Các script này có khả năng ghi lại thao tác gõ phím (keylogging) hoặc thu thập dữ liệu biểu mẫu (form data) mà người dùng nhập vào. Dữ liệu sau đó sẽ được truyền đến các máy chủ từ xa do kẻ tấn công kiểm soát để khai thác thêm.
Các mối đe dọa này được khuếch đại bởi khối lượng giao dịch trực tuyến khổng lồ trong Prime Day, tạo ra một môi trường thuận lợi để tội phạm mạng pha trộn các vụ lừa đảo của chúng vào “tiếng ồn” của các thông tin liên lạc hợp pháp.
Chỉ Báo Về Nguy Cơ (Indicators of Compromise – IOCs)
Dưới đây là một số chỉ báo về nguy cơ liên quan đến các chiến dịch lừa đảo trong mùa Amazon Prime Day:
- Tên miền giả mạo:
Amazon02atonline51[.]onlineamazon-2025[.]top
- URL lừa đảo:
https://cloud-service-care[.]com
- Tiêu đề email lừa đảo phổ biến:
Refund Due – Amazon System Error
Biện Pháp Phòng Ngừa và Bảo Vệ
Đối Với Người Dùng Cá Nhân
Để tự bảo vệ khỏi những rủi ro này, người mua sắm cần duy trì sự cảnh giác cao độ. Một bước quan trọng đầu tiên là truy cập trực tiếp vào trang web hoặc ứng dụng chính thức của Amazon tại “www.amazon.com” thay vì nhấp vào các liên kết trong email hoặc tin nhắn không rõ nguồn gốc.
- Kiểm tra URL kỹ lưỡng: Luôn kiểm tra kỹ các URL để tìm các điểm bất thường, lỗi chính tả tinh vi hoặc các ký tự lạ. Đảm bảo rằng trang web sử dụng mã hóa HTTPS an toàn, được biểu thị bằng biểu tượng ổ khóa trên thanh địa chỉ của trình duyệt.
- Bật xác thực hai yếu tố (2FA): Kích hoạt xác thực hai yếu tố cho tất cả các tài khoản trực tuyến, đặc biệt là tài khoản mua sắm và ngân hàng. 2FA thêm một lớp bảo mật cần thiết, ngay cả khi thông tin đăng nhập của bạn bị lộ.
- Sử dụng mật khẩu mạnh và độc nhất: Tạo và sử dụng mật khẩu mạnh, độc nhất cho mỗi tài khoản. Việc sử dụng trình quản lý mật khẩu (password manager) có thể giúp quản lý các mật khẩu phức tạp này một cách hiệu quả và an toàn.
- Chọn phương thức thanh toán an toàn: Ưu tiên sử dụng các phương thức thanh toán an toàn như thẻ tín dụng ảo (virtual credit cards) hoặc dịch vụ thanh toán trung gian có bảo vệ người mua. Điều này có thể giúp giảm thiểu thiệt hại tiềm ẩn nếu thông tin thẻ của bạn bị xâm phạm.
- Cảnh giác với ưu đãi “quá tốt để tin”: Luôn hoài nghi về các ưu đãi giảm giá hoặc khuyến mãi có vẻ quá hấp dẫn để tin là thật. Tội phạm mạng thường sử dụng chiêu trò này để dụ dỗ nạn nhân.
- Chống lại các chiến thuật gây áp lực: Không để bị thúc ép hành động ngay lập tức bởi các tin nhắn không mong muốn, đặc biệt là những tin nhắn yêu cầu thông tin cá nhân hoặc tài chính khẩn cấp.
Giải Pháp Bảo Mật Nâng Cao
Các giải pháp chống phishing tiên tiến, chẳng hạn như ThreatCloud AI và Harmony Email and Collaboration của Check Point, cung cấp khả năng bảo vệ theo thời gian thực. Các hệ thống này phân tích email, URL và nội dung để tìm kiếm các chỉ báo nguy cơ (IOCs), từ đó cung cấp một lớp phòng thủ mạnh mẽ chống lại các mối đe dọa zero-day.
ThreatCloud AI tận dụng trí tuệ nhân tạo và học máy để phân tích hàng tỷ giao dịch và dữ liệu về mối đe dọa trên toàn cầu, nhận diện các mẫu tấn công mới và phổ biến. Harmony Email and Collaboration mở rộng khả năng bảo vệ này đến các kênh giao tiếp email và hợp tác, nơi các cuộc tấn công phishing thường diễn ra.
Trong bối cảnh Prime Day 2025 đang đến gần, việc giữ vững thông tin và luôn thận trọng là điều tối quan trọng để tận hưởng sự kiện mà không trở thành nạn nhân của các bẫy mạng phổ biến này.
