Không, Bạn Chưa Trúng Máy Làm Lạnh Yeti Từ Dick's Sporting Goods

Chúc mừng: Bạn đã được chọn để nhận Máy Làm Lạnh Yeti Hopper M20. Bạn đã được chọn nhiều, rất nhiều lần. Nó ngay ở đó, trong hộp thư đến của bạn.

Email này từ Dick's Sporting Goods. Đừng để ý rằng nó đọc như Dicks Sporting Goods, không có dấu nháy đơn, hoặc Dicks SportingGoods, hoặc Dicks SPORTING Goods. Tìm kiếm từ khóa “Dicks” trong Gmail của bạn và bạn sẽ tìm thấy nó. Tìm kiếm từ khóa “Dicks” trên Twitter và—ơ, có thể sẽ xuất hiện một cái gì đó khác. Nhưng sau đó, bạn sẽ thấy những phàn nàn từ những người, giống như bạn, nhận liên tục các email từ “Dick's Sporting Goods” về Yeti Hopper M20. Những email này kêu gọi người nhận nhấp vào liên kết và nhận giải thưởng của họ.

Bạn không nên nhấp vào bất kỳ phần nào của email này. Cuộc thi Máy Làm Lạnh Yeti Hopper của Dick's Sporting Goods không hợp lệ và không phải là nguồn gốc từ thương hiệu hàng hóa thể thao. Đó là một trò lừa đảo, điều mà hầu hết chúng ta đã gặp ít nhất một lần trong cuộc sống trực tuyến của chúng ta.

Nhưng đó là một dạng spam đặc biệt gai góc, một dạng mà đã vượt qua một số công cụ chống spam mạnh mẽ của Google cho Gmail. Google đã thừa nhận rằng chiến dịch spam này là “đặc biệt hung dữ.” Một công ty nghiên cứu an ninh đã theo dõi chặt chẽ đợt spam mới nhất này cho biết các kỹ thuật đang được sử dụng khá mới mẻ và chỉ ra một tương lai trong đó nhiều thư rác có thể lọt qua ngay cả các hệ thống chống gian lận tinh vi nhất. 

“Chúng tôi đào tạo các mô hình [học máy] để xem xét tất cả các yếu tố khác nhau của một email và phân giải nó, và trong một khoảng thời gian ngắn, điều đó thực sự đã hoạt động tốt trong việc ngăn chặn spam,” nói Ryan Kalember, Phó Chủ tịch Điều lệ chiến lược an ninh tại Proofpoint, một công ty an ninh có trụ sở tại Mỹ. “Nhưng không may, có một số cách hiệu quả để vượt qua điều đó. Điều đang diễn ra bây giờ là, tất cả các mô hình học máy phức tạp chỉ không thấy nơi có 'thứ xấu' trong các email, do một số hướng đi thông minh.” 

Những người sử dụng rộng rãi công cụ Báo cáo Spam & Hủy đăng ký trong Gmail có thể nghĩ rằng điều này sẽ chấm dứt các email quảng cáo cooler Yeti; đánh dấu một email là spam đủ lần và cuối cùng nó sẽ biến mất. Điều này không hoạt động trong trường hợp này. Justin Watkins, một YouTuber nổi tiếng, tweet về sự thất vọng về điều này vào tháng 9, van nài Google điều chỉnh bộ lọc của mình và đưa email về Yeti Hopper vào mục spam sau khi nhận được email trong vài tháng liên tiếp. “Đó là một cuộc đuổi bắt mèo,” Watkins nói với tôi. “Tôi sẽ đánh dấu nó là spam và nó sẽ biến mất một tuần, sau đó tôi sẽ nhận được hai hoặc ba email mỗi ngày nữa.” 

Theo Kalember, những người gửi thư rác bây giờ đang tạo ra một kế hoạch mà các mô hình học máy “thực sự không đến nỗi nó thấy điều xấu trong email.” Họ đang sử dụng những gì ông gọi là kỹ thuật mô neo HTML, khá hiếm gặp. Điều này khác biệt so với những cách cũ, những cách mà kẻ lừa đảo có thể lẻn qua bộ lọc spam, có thể bao gồm việc xoay vòng giữa các dịch vụ lưu trữ đám mây mà họ đang sử dụng hoặc tạo ra một đường dẫn chuyển hướng URL, trong đó người mở email nhấp vào liên kết và được chuyển hướng đến một số nơi khác nhau trên web trước khi họ đến trang web độc hại. Chiến dịch thư rác mới dựa vào điều gì đó thú vị hơn, theo Kalember. (Giả sử bạn thấy thư rác email “thú vị” và không phải là tức giận.)

Mã HTML thường xuyên sử dụng các thẻ mô neo tạo các địa điểm cụ thể trên một trang có thể tạo liên kết. Hãy tưởng tượng về các thẻ này như các đánh dấu trang web; nhấp vào một liên kết đến một thẻ neo và bạn sẽ nhảy ngay đến một phần khác của trang đa phần mà không cần cuộn chút nào. Các thẻ này thường bắt đầu bằng ký hiệu thăng (#). Trong các email thư rác của Dick’s Sporting Goods mà thúc đẩy người ta nhấp vào liên kết, những người gửi thư rác đang sử dụng mã sau ký hiệu thăng để chạy một đoạn mã JavaScript và lập trình trang một cách linh hoạt, sau đó dẫn dắt người ta đến trang lừa đảo. Đó là một kỹ thuật tinh tế sử dụng một phần của URL trong email mà nhiều công cụ bảo mật thường không phân tích, Kalember nói. 

Đơn giản, một công cụ học máy tự động sẽ không nhận ra điều gì xấu về email nếu nó chưa được đào tạo để nhận biết mã sau ký hiệu thăng. “Đó là một chút Rube Goldberg, nhưng đây là những gì chúng ta thấy từ tất cả các tay đua tấn công,” Kalember nói. “Họ đang ẩn 'tải trọng' sau cái gì đó mà con người có thể tìm thấy rất dễ dàng trong email nhưng một phương pháp phát hiện thì khó khăn.” Điều này cũng không giúp ích gì khi người gửi thư rác và tội phạm mạng không còn cần thiết lập các trang web lừa đảo tồi tệ của riêng họ nữa. Trong một số trường hợp, họ sẽ sử dụng kiến trúc do các công ty đám mây lớn như Amazon và Google cung cấp - điều này gửi tín hiệu đến các công cụ chống gian lận rằng hoạt động của họ là “chính thức.” 

Chưa rõ chiến dịch Dicks-Yeti có xâm nhập vào nhiều dịch vụ email hay chỉ Gmail. (Trong kinh nghiệm của tôi, các email xuất hiện trong Gmail.) Đại diện truyền thông của Google, Zoz Cuccias, cho biết công ty này rất rõ về một “chiến dịch thư rác lan rộng giả mạo các tổ chức nổi tiếng, chẳng hạn như các nhà bán lẻ, công ty vận chuyển và các cơ quan chính phủ.”

“Các đội an ninh của chúng tôi đã xác định rằng những người gửi thư rác đang sử dụng cơ sở hạ tầng của một nền tảng khác để tạo một lối đi cho những thông điệp lạm dụng này. Tuy nhiên, ngay cả khi các chiến thuật của người gửi thư rác càng ngày càng phức tạp, Gmail vẫn đang chặn hầu hết hoạt động này,” Cuccias nói trong một email. Cô cũng thêm rằng Google đã liên lạc với nhà cung cấp nền tảng khác để giải quyết những lỗ hổng này. Google từ chối tiết lộ công ty hoặc nhà cung cấp nền tảng nào mà họ đang nói đến. 

Kalember từ Proofpoint lưu ý rằng quy mô lớn của Google làm cho công việc bảo mật trở nên đặc biệt khó khăn. Kalember nói rằng Proofpoint quét khoảng 50 tỷ email mỗi ngày cho các khách hàng của mình và chỉ có thể theo dõi một số lượng URL trên web, dẫn đến một phân tích có phần nông cạn về các cuộc tấn công lừa đảo tiềm ẩn. Tuy nhiên, Google và các nhà cung cấp dịch vụ email lớn xử lý một lượng email nhiều hơn nhiều so với vậy, mặc dù Google cũng nói rằng họ chặn  hàng tỷ email thư rác mỗi ngày.

Cuccias, người phát ngôn của Google, cho biết công ty dự kiến sẽ thấy chiến dịch email này tiếp tục trong suốt mùa lễ, mặc dù đã có sự nỗ lực tốt nhất của Google. “Chúng tôi khuyến khích bất kỳ ai sử dụng email tiếp tục thận trọng khi mở các tin nhắn và người dùng Gmail có thể tận dụng chức năng Báo cáo Spam.” Một phóng viên từ Vox, Sara Morrison, gần đây đã xác định các email từ “Kohl’s” cung cấp một nồi nấu ăn Le Creuset màu cam là thư rác và lưu ý rằng vào cuối tháng 11, Google đã báo cáo tăng 10% về số lượng email độc hại. 

Có một số dấu hiệu cho thấy cuộc tấn công thư rác cụ thể này có thể đang giảm nhẹ. Vào giữa tháng 12, tôi cuối cùng cũng thấy một email từ “Dicks Sporting Goods” xuất hiện không phải trong hộp thư chính của tôi, mà trong thư mục thư rác của tôi—nơi nó nên ở. Khi tôi tìm kiếm các email cũ từ “Dicks Sporting Goods” và mở chúng, Gmail ngăn chặn email đầy đủ từ việc tải. Tất nhiên, một email mới vừa xuất hiện: Khi tôi viết điều này, tôi nhận được một email từ “ACE Hardware” cung cấp cơ hội để giành một chiếc máy khoan Milwaukee Power Drill mới. May mắn thật.