Trong thế giới công nghệ, đôi khi một dấu chấm nhỏ có thể khiến cả công ty “tan hoang”. Nghe hơi kịch tính? Không đâu. Hôm nay chúng ta sẽ nói về một chiêu trò vừa tinh vi vừa buồn cười: domain giả mạo bằng ký tự Unicode, hay còn gọi là Unicode Homograph Attack.
Đọc thì thấy học thuật, nhưng thực tế là hacker chỉ cần thay chữ e thành chữ ė (có cái chấm nhỏ xíu trên đầu), thế là bao nhiêu người bị lừa ngoạn mục. Giống như bạn quen một em hotgirl qua Facebook, ngoài đời gặp mới biết là… chú Tư xóm trên đội tóc giả.
Domain giả mạo – trò ảo thuật của hacker
Bạn có bao giờ nhận được email kiểu này chưa:
“Xin chào, chúng tôi là đối tác lâu năm của bạn. Vui lòng chuyển tiền gấp trong hôm nay qua số tài khoản sau…”
Nhìn lướt qua, domain gửi đến có vẻ quen thuộc. Nhưng khi soi kỹ, chữ apple.com lại thành аррle.com (trong đó chữ a và p là ký tự Cyrillic, không phải Latin).
Mắt thường thấy “quả táo”, nhưng thực ra bạn vừa cắn nhầm một quả ớt hiểm. Cái cảm giác cay xè không chỉ trên lưỡi, mà còn ở… tài khoản ngân hàng.
Unicode Homograph Attack là gì?
Nói cho dễ hiểu: máy tính cho phép đăng ký domain bằng đủ loại bảng chữ cái trong Unicode – từ Latin, Cyrillic cho tới Greek. Hacker chỉ cần tìm những ký tự na ná nhau, rồi thay thế khéo léo.
Ví dụ:
e→ėa→а(Cyrillic)i→і(Ukrainian)
Đời bạn bình thường thì “chị E”, vào tay hacker lại biến thành “chị Ê chấm” – nhìn giống y chang mà thật ra là “người lạ mặt”.
Vì sao dễ bị lừa?
- Con mắt chúng ta không phải kính hiển vi.
Nhìn nhanh thì cái gì cũng giống nhau. Giống như bạn thấy “3 triệu/tháng” trong hợp đồng, ký vội… về nhà mới biết là “3 triệu/tuần”. - Tâm lý tin vào cái quen thuộc.
Não bộ có xu hướng nhận diện mẫu cũ. Nhìn thoáng qua thấy giống tên miền đối tác, tự động gật đầu mà không kiểm tra kỹ. - Trình duyệt/email client hiển thị “đẹp quá”.
Thay vì hiệnxn--(Punycode), nó render thành domain “na ná thật”. Giống như Photoshop làm da mịn ảo diệu – nhìn qua tưởng thật, zoom 200% mới thấy giả.
Hậu quả: từ mất mật khẩu tới mất luôn công ty
Đừng nghĩ đây chỉ là trò đùa. Domain giả mạo có thể gây ra:
- Lộ mật khẩu: Nhập nhầm vào web giả → hacker mỉm cười.
- Mất tiền: Chuyển khoản cho “đối tác” → nhận lại sự im lặng.
- Mất uy tín: Nhân viên click nhầm, khách hàng bị lừa → công ty bạn thành tội đồ.
Một cái click lộn, có thể bay luôn chiếc Air Blade mới góp. Hoặc nặng hơn, bạn trở thành “nhân vật chính” trong buổi họp khẩn cấp: “Ai vừa chuyển 200 triệu đi đâu vậy?”.
5 tuyệt chiêu phòng tránh domain giả mạo
1. Kiểm tra kỹ domain trước khi click: Đừng chỉ soi deadline sếp giao, hãy soi cả dấu chấm trong email. Nếu thấy lạ lạ, copy domain dán ra Notepad rồi so từng chữ.
2. Bật chế độ hiển thị Punycode trong trình duyệt: Khi bật, bạn sẽ thấy domain giả hiện thành xn--abcd.... Đời bớt ảo, hacker bớt vui.
3. Triển khai SPF, DKIM, DMARC: Nghe như công thức hóa học nhưng thật ra là “áo giáp email” của doanh nghiệp. Cài một lần, ngủ ngon trọn đời.
4. Đào tạo nhân viên (và cả gia đình): Team building thì vui, nhưng một buổi training chống scam có thể cứu ví tiền cả công ty. Nhắc luôn ba mẹ: đừng đăng nhập tài khoản ngân hàng từ “link lạ”.
5. Báo cáo domain giả: Phát hiện domain lừa đảo? Report ngay cho registrar. Nhanh gọn như gọi điện cho tổ trưởng dân phố.
Bài học cười ra nước mắt
Hacker ngày nay không cần dao kiếm. Chúng chỉ cần một dấu chấm nhỏ xíu, nhưng hậu quả đủ lớn để bạn mất cả tháng lương nhân viên.
Kỷ nguyên số, mọi thứ nhanh như TikTok, và chỉ một giây mất cảnh giác, bạn có thể trở thành nhân vật chính trong phim bi hài kịch.
Nên nhớ: cẩn thận từng dấu chấm. Vì có lúc, nó không phải là dấu kết thúc câu, mà là… kết thúc tài khoản ngân hàng của bạn.
Ở Giải Pháp Pro, chúng tôi không chỉ làm website đẹp – nhanh – tối ưu SEO, mà còn tư vấn cách bảo mật cơ bản cho doanh nghiệp vừa và nhỏ.
