Chiêu Lừa Đảo Email Mới Dùng Ký Tự Ẩn Để Qua Mặt Bộ Lọc

Giới tội phạm mạng liên tục tìm ra những chiêu thức mới để đánh cắp thông tin cá nhân, và email vẫn là công cụ ưa thích của chúng. Mặc dù các bộ lọc thư rác ngày càng tinh vi, nhưng những kẻ tấn công cũng không ngừng thích nghi. Kỹ thuật mới nhất đang nhắm vào một yếu tố mà ít ai để ý: dòng tiêu đề email.

Theo tin tức từ Fox News ngày 2/12/2025, các nhà nghiên cứu đã phát hiện một phương pháp mới cho phép tin tặc ẩn các ký tự nhỏ, vô hình vào trong dòng tiêu đề email. Các ký tự này, được gọi là gạch nối mềm (soft hyphens) từ bảng mã Unicode, thường dùng để định dạng văn bản nhưng lại không hiển thị trong hộp thư đến của người dùng. Tuy nhiên, chúng lại hoàn toàn làm rối loạn các hệ thống lọc thư dựa trên từ khóa.

Kẻ tấn công sử dụng định dạng mã hóa MIME (UTF-8 và Base64) để chèn các ký tự ẩn này vào tiêu đề email. Ví dụ, một email được phân tích có tiêu đề “Your Password is About to Expire” (Mật Khẩu Của Quý Vị Sắp Hết Hạn) nhưng thực chất có chèn một gạch nối mềm giữa mỗi ký tự. Đối với người nhận, tiêu đề này trông hoàn toàn bình thường. Nhưng đối với bộ lọc bảo mật, nó trở thành một chuỗi ký tự lộn xộn, không thể nhận diện được các từ khóa độc hại.

Mức độ nguy hiểm của chiêu lừa này nằm ở chỗ nó dễ dàng được sao chép và tự động hóa. Khi các ký tự bị chia nhỏ bằng những biểu tượng vô hình, các bộ lọc dựa trên nhận diện mẫu (pattern recognition) sẽ bị phá vỡ. Điều này tạo ra một “lỗ hổng” âm thầm, khiến những mẫu email lừa đảo cũ trở nên hiệu quả trở lại. Hơn nữa, vì các ký tự này vô hình trong hầu hết các ứng dụng email, ngay cả những người dùng có kiến thức về công nghệ cũng khó nhận ra điều bất thường ngay từ cái nhìn đầu tiên.

Để tự bảo vệ mình khỏi những cuộc tấn công lừa đảo qua email (phishing) nguy hiểm này, các chuyên gia của CyberGuy Report khuyến nghị một số biện pháp sau:

• **Sử dụng Trình quản lý Mật khẩu:** Giúp tạo và lưu trữ mật khẩu mạnh, duy nhất cho mỗi tài khoản, đồng thời cảnh báo khi trang web đáng ngờ.
• **Bật Xác thực Hai Yếu tố (2FA):** Thêm một lớp bảo mật phụ, yêu cầu mã xác minh từ điện thoại ngay cả khi mật khẩu bị đánh cắp.
• **Cài đặt Phần mềm Chống vi-rút đáng tin cậy:** Không chỉ quét mã độc mà còn chặn các trang web không an toàn và cảnh báo trước khi bạn nhập thông tin vào trang đăng nhập giả mạo.
• **Hạn chế Dữ liệu Cá nhân Trực tuyến:** Giảm dấu chân kỹ thuật số của bạn, khiến kẻ tấn công khó khăn hơn trong việc tạo ra các email lừa đảo thuyết phục.
• **Kiểm tra Kỹ Thông tin Người gửi:** Luôn kiểm tra địa chỉ email đầy đủ, không chỉ tên hiển thị. Nếu thấy bất kỳ điều gì bất thường, hãy truy cập trang web thủ công thay vì nhấp vào liên kết trong email.
• **Không Đặt lại Mật khẩu qua Liên kết Email:** Nếu nhận được email yêu cầu đặt lại mật khẩu, hãy vào thẳng trang web chính thức để kiểm tra và thay đổi.
• **Cập nhật Phần mềm và Trình duyệt Thường xuyên:** Các bản cập nhật thường bao gồm các bản vá bảo mật quan trọng.
• **Bật Lọc Thư Rác Nâng cao:** Cấu hình cài đặt lọc thư rác “nghiêm ngặt” hơn trong các dịch vụ email như Gmail, Outlook, Yahoo.
• **Sử dụng Trình duyệt có Bảo vệ Chống Lừa đảo:** Các trình duyệt như Chrome, Safari, Firefox, Brave và Edge đều có tính năng này để tăng cường an toàn.

Kurt Knutsson, một nhà báo công nghệ từng đoạt giải thưởng của CyberGuy Report cho Fox News, nhấn mạnh rằng các cuộc tấn công lừa đảo đang thay đổi nhanh chóng, và chiêu trò dùng ký tự vô hình cho thấy sự sáng tạo của kẻ xấu. Ông khuyên người dùng nên duy trì thói quen tốt, sử dụng công cụ bảo mật phù hợp và luôn cảnh giác, hoài nghi khi nhận được email yêu cầu hành động gấp rút. Bằng cách chậm lại, kiểm tra kỹ lưỡng và áp dụng các bước tăng cường bảo mật tài khoản, bạn sẽ làm kẻ xấu khó lòng lừa được mình.