Cẩn trọng với tên miền “.XIN” lừa đảo đứng đầu thế giới nhắm vào người dùng smartphone

Trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng và tinh vi, smartphone trở thành mục tiêu ưa thích của tội phạm mạng. Một trong những dấu hiệu nhận biết quan trọng hiện nay là sự xuất hiện của tên miền “.XIN” trong các liên kết được gửi qua SMS, email hoặc mạng xã hội.

Các chuyên gia khuyến cáo, nếu thấy “.XIN” trong bất kỳ đường link nào, người dùng phải xóa ngay tin nhắn và tuyệt đối không bấm vào liên kết để tránh nguy cơ bị cài mã độc, mất thông tin cá nhân hoặc tài khoản ngân hàng.

Tên miền cấp cao nhất (TLD) “.XIN” được vận hành tại Hồng Kông (Trung Quốc), ban đầu hướng đến cộng đồng sáng tạo nội dung và doanh nghiệp Trung Quốc. Tuy nhiên, theo thống kê mới nhất, đây lại là công cụ ưa thích của tội phạm mạng toàn cầu.

Chỉ trong ba tháng (từ 5 đến 7-2025), gần 22.000 trên tổng số 50.000 tên miền “.XIN” đã bị xác định là lừa đảo. Tỉ lệ này cao gấp nhiều lần so với các TLD khác như “.VIP” (35.000/1.350.000) hay “.TOP” (115.000/4.500.000).

Trong bảng xếp hạng tên miền lừa đảo, “.XIN” dẫn đầu với 4421 điểm, trong khi tên miền phổ biến nhất thế giới “.COM” chỉ ở mức 16 điểm. Các đường link chứa “.XIN” thường được dùng để gửi tin nhắn giả mạo, yêu cầu xác nhận tài khoản, thông báo dịch vụ hay cảnh báo bảo mật nhằm đánh cắp dữ liệu cá nhân, thậm chí chiếm đoạt tiền.

Người dùng cẩn trọng trước tên miền .XIN vì có thể bị tin tặc tấn công. Ảnh minh họa

Theo các chuyên gia từ Proofpoint, smartphone hiện lưu trữ khối lượng lớn thông tin cá nhân và công việc, khiến chúng trở thành mục tiêu hấp dẫn. Chỉ cần một cú nhấp vào liên kết độc hại, người dùng có thể bị cài mã độc, bị theo dõi, hoặc dữ liệu nhạy cảm bị khai thác cho giao dịch gian lận.

Nhiều trường hợp, tin tặc còn tạo ra địa chỉ web có dấu gạch ngang hoặc biến thể gần giống “.COM” để đánh lừa người dùng. Điều này càng làm tăng nguy cơ người dân bị sập bẫy.

Không chỉ các chuyên gia, nhiều cơ quan chức năng trên thế giới cũng lên tiếng cảnh báo. Thống đốc bang New York (Mỹ), bà Kathy Hochul, kêu gọi người dân cảnh giác, đặc biệt là người cao tuổi và nhóm dễ bị tổn thương. Bà nhấn mạnh, những tin nhắn lừa đảo này không chỉ gây thiệt hại tiền bạc mà còn đe dọa trực tiếp đến an toàn thông tin cá nhân.

Tại Mỹ, cơ quan quản lý giao thông cũng ghi nhận phần lớn tin nhắn liên quan đến dịch vụ thu phí hiện nay là giả mạo, khiến người dân hoang mang, thậm chí bỏ qua cả tin nhắn hợp pháp.

Để an toàn trước những chiêu thức lừa đảo ngày càng tinh vi, người dùng cần ghi nhớ: Kiểm tra kỹ đường link trong tin nhắn, email hoặc trên mạng xã hội, đặc biệt chú ý tới các TLD lạ như “.XIN”. Tuyệt đối không nhấp vào các liên kết đáng ngờ, kể cả khi gửi từ người quen. Luôn cập nhật phần mềm bảo mật và hệ điều hành cho điện thoại. Cảnh báo người thân, nhất là người lớn tuổi, về các thủ đoạn mới để cùng nâng cao cảnh giác.

Các chuyên gia khẳng định, chỉ một hành động bất cẩn, người dùng có thể mất toàn bộ dữ liệu cá nhân, tài khoản ngân hàng và trở thành nạn nhân của tội phạm mạng. Vì vậy, nhìn thấy “.XIN” – hãy xóa ngay tin nhắn đó.

Liên quan tới tội phạm mạng tấn công người dùng điện thoại tại Việt Nam, Trung tâm phân tích mã độc của Bkav cho biết, đầu tháng 8 vừa qua, một chiến dịch tấn công có chủ đích do tin tặc Trung Quốc thực hiện đã nhắm vào người dùng Android tại Việt Nam, sử dụng mã độc RedHook để đánh cắp dữ liệu và chiếm quyền kiểm soát điện thoại.

Theo Bkav, RedHook được phát tán qua các website giả mạo cơ quan, tổ chức lớn như Ngân hàng Nhà nước Việt Nam (SBV), Sacombank Pay, Tổng công ty Điện lực miền Trung (EVNCPC) hay hệ thống đặt lịch đăng kiểm. Dưới vỏ bọc ứng dụng quen thuộc (như SBV.apk), các tập tin độc hại được lưu trữ trên nền tảng Amazon S3, giúp tin tặc dễ dàng cập nhật và che giấu mã độc.

Sau khi cài đặt, ứng dụng giả mạo sẽ yêu cầu quyền trợ năng (Accessibility) và hiển thị lớp phủ (Overlay). Với hai quyền này, RedHook có thể theo dõi thao tác của người dùng, đọc SMS, lấy mã OTP, truy cập danh bạ và điều khiển thiết bị từ xa. Dữ liệu bị đánh cắp được nén lại rồi gửi về máy chủ điều khiển (C&C) ở nước ngoài, nhờ cơ chế xác thực JWT mà mã độc vẫn duy trì quyền kiểm soát ngay cả khi điện thoại khởi động lại.

Bkav cho biết RedHook tích hợp tới 34 lệnh điều khiển, từ chụp màn hình, gửi nhận tin nhắn đến cài hoặc gỡ ứng dụng, khóa/mở thiết bị. Nhiều đoạn mã trong RedHook sử dụng tiếng Trung, cùng dấu hiệu liên quan đến các chiến dịch lừa đảo trước đây. Đặc biệt, tin tặc còn lợi dụng tên miền giống các tổ chức hợp pháp, như mailisa[.]me, để phát tán mã độc, trong khi các tên miền điều khiển đều đăng ký ẩn danh ở nước ngoài, rất khó truy vết.

An Dương (T/h)