Cẩn trọng chiêu trò hack Facebook mới cực tinh vi

00:00 / 0:00

Chuẩn

Tốc độ đọc

Chiêu lừa đảo mới dùng cách giả mạo Google để "móc túi" tài khoản Facebook cực kỳ tinh vi.

Một chiến dịch lừa đảo trực tuyến mới với thủ đoạn vô cùng tinh vi và nguy hiểm đang nhắm vào người dùng Facebook, lợi dụng chính một dịch vụ hợp pháp của Google để qua mặt các hệ thống bảo vệ email. Các chuyên gia an ninh mạng từ KnowBe4 vừa phát đi cảnh báo khẩn cấp về chiêu trò này.

Theo đó, tội phạm mạng đang lạm dụng Google AppSheet – một nền tảng phát triển ứng dụng không cần mã của Google – để gửi hàng loạt email lừa đảo. Do được gửi đi từ địa chỉ "@appsheet.com" của Google, những email này dễ dàng vượt qua các cơ chế kiểm tra uy tín tên miền và xác thực (như SPF, DKIM, DMARC) của Microsoft cũng như các Secure Email Gateways (SEG), khiến chúng xuất hiện như thư hợp pháp trong hộp thư đến của nạn nhân. Mỗi email còn được tạo với một ID riêng biệt, gây khó khăn cho các hệ thống phát hiện truyền thống.

Công cụ của Google đang bị lợi dụng để hack tài khoản Facebook.

Nội dung của các email này giả mạo thông báo từ Facebook, thường viện cớ người dùng vi phạm quyền sở hữu trí tuệ và tài khoản sẽ bị xóa trong vòng 24 giờ. Để tránh bị khóa tài khoản, người dùng được yêu cầu nhấp vào nút "Submit an Appeal" (gửi đơn kháng nghị). Khi nhấp vào, nạn nhân sẽ bị dẫn đến một trang đích được thiết kế giống hệt trang đăng nhập của Facebook. Điều đáng nói, trang giả mạo này lại được lưu trữ trên Vercel, một nền tảng uy tín, càng làm tăng độ tin cậy cho toàn bộ chiến dịch lừa đảo.

Tại đây, nếu người dùng nhập thông tin đăng nhập và mã xác thực hai yếu tố (2FA), toàn bộ dữ liệu này sẽ được gửi thẳng đến cho kẻ tấn công. Chiêu trò còn tinh vi hơn khi lần đăng nhập đầu tiên trên trang giả mạo thường báo "sai mật khẩu" để nạn nhân nhập lại, nhằm xác nhận thông tin. Nguy hiểm hơn, mã 2FA sau khi được cung cấp sẽ được tội phạm sử dụng ngay để chiếm đoạt mã token của phiên đăng nhập (session token) từ Facebook, cho phép chúng duy trì quyền truy cập tài khoản ngay cả khi nạn nhân đã đổi mật khẩu.

Người dùng được khuyến cáo hết sức cảnh giác với các email yêu cầu hành động khẩn cấp hoặc cung cấp thông tin cá nhân, ngay cả khi chúng có vẻ đến từ nguồn đáng tin cậy. Luôn kiểm tra kỹ địa chỉ người gửi và không nhấp vào các liên kết đáng ngờ.