Một chiến dịch lừa đảo tinh vi đang lợi dụng chính nền tảng hợp pháp của Google để qua mặt hệ thống bảo mật email, khiến người dùng Facebook dễ trở thành nạn nhân. Vấn đề đặt ra: Chúng ta còn có thể tin vào email nào?
Mượn tay Google để qua mặt hệ thống bảo vệ
Công an tỉnh Long An cảnh báo: các đối tượng tấn công mạng hiện đang sử dụng nền tảng Google AppSheet – một công cụ phát triển ứng dụng không cần mã của Google – để gửi đi hàng loạt email lừa đảo.
Do các email này xuất phát từ địa chỉ có đuôi “@appsheet.com”, chúng dễ dàng vượt qua những lớp bảo vệ vốn được thiết kế để phát hiện thư rác hoặc giả mạo, như SPF, DKIM hay DMARC. Nguy hiểm hơn, hệ thống kiểm tra bảo mật email của Microsoft và các cổng bảo mật chuyên dụng (Secure Email Gateways) cũng không phát hiện được dấu hiệu bất thường.
Mỗi email còn được gán một ID riêng biệt, giúp chúng “ẩn thân” tốt hơn trước các thuật toán chống lừa đảo.
Tạo trang Facebook giả mạo, lưu trữ trên nền tảng uy tín
Nội dung email thường là cảnh báo người dùng Facebook đã vi phạm quyền sở hữu trí tuệ và tài khoản sẽ bị xóa trong 24 giờ nếu không kháng cáo.
Người dùng được mời bấm vào nút “Submit an Appeal” – dẫn đến một trang web có giao diện giống hệt Facebook nhưng thực chất là trang giả mạo được lưu trữ trên Vercel, một nền tảng được giới công nghệ tin dùng.
Tại đây, nếu nạn nhân nhập thông tin đăng nhập và mã xác thực hai bước (2FA), dữ liệu sẽ bị chuyển thẳng đến tay hacker. Chưa dừng lại, trang lừa đảo thường báo sai mật khẩu trong lần đầu tiên để ép nạn nhân nhập lại – từ đó xác nhận thông tin đăng nhập là chính xác.
Token bị đánh cắp – tài khoản vẫn mất dù đổi mật khẩu
Sau khi có được mã xác thực 2FA, kẻ gian lập tức sử dụng nó để chiếm đoạt mã phiên đăng nhập (session token) từ Facebook. Điều này cho phép chúng tiếp tục truy cập tài khoản, ngay cả khi nạn nhân đã đổi mật khẩu.
Hiểu đơn giản: không chỉ lấy mật khẩu, kẻ gian còn “cướp chìa khóa cửa” và sao chép vĩnh viễn.
Người dùng nên làm gì?
Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Công an tỉnh Long An) đưa ra khuyến cáo:
- Tuyệt đối không bấm vào các liên kết trong email yêu cầu hành động gấp, dù email có vẻ đến từ Facebook, Google hay bất kỳ nền tảng uy tín nào.
- Kiểm tra kỹ địa chỉ người gửi, ưu tiên truy cập Facebook hoặc các dịch vụ khác qua đường link chính thức (facebook.com).
- Không cung cấp mã xác thực 2 bước qua bất kỳ biểu mẫu lạ nào.
- Bật cảnh báo bảo mật nâng cao và cập nhật phần mềm thường xuyên
Email còn tin được bao nhiêu?
Chiêu trò lần này cho thấy: các chiến dịch lừa đảo ngày càng tinh vi khi lợi dụng chính công cụ của các ông lớn công nghệ để đánh lừa người dùng. Câu hỏi đặt ra: liệu còn có thể tin vào email từ Google hay Facebook khi chính địa chỉ hợp pháp cũng bị kẻ gian tận dụng?
Liệu các nền tảng công nghệ sẽ thay đổi chính sách để ngăn chặn kiểu lợi dụng này – hay người dùng vẫn phải tự học cách “phòng thân” giữa thời đại lừa đảo kỹ thuật số?