Tin tặc lợi dụng Google để đánh cắp mật khẩu

(PLO)- Các cuộc tấn công đánh cắp mật khẩu ngày càng tinh vi, từ những chiến thuật AI nhắm vào người dùng Gmail đến các trang CAPTCHA giả mạo.

0:00 / 0:00
0:00
  • Nữ miền Nam

Tin tặc lợi dụng Google để đánh cắp mật khẩu Microsoft

Theo các nhà nghiên cứu bảo mật tại Malwarebytes, tin tặc đang lợi dụng hệ thống quảng cáo của Google để nhắm mục tiêu vào người dùng Microsoft.

Thông qua các quảng cáo giả mạo trên Google Tìm kiếm, chúng dụ dỗ nạn nhân truy cập vào các trang đăng nhập giả, từ đó đánh cắp mật khẩu.

Jérôme Segura, Giám đốc nghiên cứu cấp cao tại Malwarebytes, cho biết đây không phải lần đầu tiên chiến thuật này được sử dụng. Trước đó, ông từng phát hiện một chiến dịch lừa đảo tương tự nhắm vào các tài khoản Google Ads. Lần này, mục tiêu chính là các tài khoản quảng cáo của Microsoft.

"Những quảng cáo độc hại này xuất hiện trên Google Tìm kiếm, được thiết kế để đánh cắp thông tin đăng nhập của những người đang cố gắng truy cập nền tảng quảng cáo của Microsoft," Segura giải thích.

Điều đáng nói là các quảng cáo độc hại này đã vượt qua các biện pháp bảo vệ nghiêm ngặt của Google. Do Microsoft thường xuyên mua không gian quảng cáo từ Google để thu hút người dùng đến nền tảng của mình, tin tặc đã lợi dụng chính mối quan hệ này để chèn các liên kết độc hại vào kết quả tìm kiếm.

Tin tặc lợi dụng Google Ads để đánh cắp mật khẩu tài khoản Microsoft. Ảnh minh họa: Pexels
Tin tặc lợi dụng Google Ads để đánh cắp mật khẩu tài khoản Microsoft. Ảnh minh họa: Pexels

Khi người dùng tìm kiếm từ khóa như "Microsoft Ads", họ có thể vô tình nhấp vào một quảng cáo giả mạo và rơi vào bẫy của tin tặc.

Các nhà nghiên cứu của Malwarebytes đã báo cáo vụ việc với Google, đồng thời liên hệ với cả Google và Microsoft để yêu cầu phản hồi về tình trạng này.

Vượt qua các hệ thống bảo vệ để đánh cắp mật khẩu

Để thực hiện trót lọt cuộc tấn công, tin tặc áp dụng nhiều kỹ thuật tinh vi nhằm qua mặt các hệ thống bảo mật. Theo Segura, chiến thuật chính của kẻ gian là lọc và điều hướng người dùng một cách có chọn lọc để tránh bị phát hiện.

Nếu nạn nhân sử dụng VPN hoặc công cụ bảo mật, họ sẽ bị chuyển hướng đến một trang web vô hại chứa nội dung tiếp thị giả mạo, giúp tin tặc che giấu ý đồ thực sự.

Trong trường hợp là người dùng thông thường, bạn sẽ được đưa đến một trang kiểm tra giả mạo với thông báo "bạn có phải là người không?", tạo cảm giác quen thuộc để giảm nghi ngờ. Sau đó, bạn sẽ bị chuyển tiếp đến một trang đăng nhập Microsoft Ads giả, có giao diện gần như giống hệt trang chính thức.

Khi nạn nhân nhập thông tin đăng nhập, hệ thống sẽ hiển thị một thông báo lỗi giả, yêu cầu họ đặt lại mật khẩu. Đây là bước giúp tin tặc thu thập cả thông tin tài khoản và đánh cắp mật khẩu mới nhất của nạn nhân.

Đáng lo ngại hơn, trang web lừa đảo có thể yêu cầu mã xác thực hai yếu tố (2FA), giúp tin tặc vượt qua lớp bảo vệ bổ sung của Microsoft.

Các chuyên gia cảnh báo rằng đây có thể chỉ là phần nổi của tảng băng trôi. Không chỉ Google Ads và Microsoft Ads, nhiều nền tảng trực tuyến khác cũng có thể bị tin tặc khai thác theo cách tương tự.

Điều này cho thấy các chiến dịch lừa đảo quảng cáo đang trở thành một mối đe dọa nghiêm trọng, đòi hỏi cả người dùng và các công ty công nghệ phải nâng cao cảnh giác.

google-bi-loi-dung-de-danh-cap-mat-khau-1.jpeg

Người dùng có thể làm gì để tự bảo vệ mình?

Mặc dù Google và Microsoft đều có các biện pháp bảo mật để ngăn chặn những cuộc tấn công dạng này, nhưng người dùng vẫn đóng vai trò quan trọng trong việc tự bảo vệ mình. Segura đề xuất một số biện pháp quan trọng để giảm thiểu rủi ro:

- Luôn kiểm tra kỹ URL trước khi nhập thông tin đăng nhập: Hãy đảm bảo rằng bạn đang truy cập trang web chính thức của Microsoft bằng cách kiểm tra kỹ địa chỉ trên thanh trình duyệt.

- Cảnh giác với yêu cầu xác thực hai yếu tố (2FA): Nếu nhận được yêu cầu 2FA bất thường, hãy kiểm tra lại xem liệu có ai đang cố gắng truy cập vào tài khoản của bạn hay không.

- Giám sát tài khoản quảng cáo: Nếu bạn sử dụng Microsoft Ads hoặc Google Ads, hãy thường xuyên kiểm tra hoạt động tài khoản để phát hiện bất kỳ dấu hiệu đáng ngờ nào, đặc biệt là các thay đổi trong quyền quản trị viên.

- Báo cáo các quảng cáo đáng ngờ: Nếu bạn gặp phải một quảng cáo trông có vẻ giả mạo, hãy báo cáo để Google xử lý kịp thời và bảo vệ những người dùng khác.

Google cho biết họ có chính sách nghiêm ngặt chống lại các quảng cáo lừa đảo, đồng thời có các nhóm chuyên trách để giám sát và xử lý vi phạm. Tuy nhiên, thực tế cho thấy tin tặc luôn tìm cách lách luật, khiến các biện pháp bảo vệ hiện có chưa thể hoàn toàn ngăn chặn được rủi ro.

Vì vậy, thay vì phụ thuộc hoàn toàn vào Google hay Microsoft, người dùng cần chủ động trang bị kiến thức và nâng cao cảnh giác khi sử dụng các nền tảng trực tuyến.

Đọc thêm

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

(PLO)- Để chủ động ứng phó với tình hình mưa lớn, lũ quét, sạt lở đất và mưa đá, Cục Quản lý đê điều và phòng, chống thiên tai - Bộ Nông nghiệp và Môi trường đã phối hợp với Zalo gửi tin nhắn cảnh báo đến khu vực vùng núi và trung du Bắc Bộ.

Hậu trường Esports World Cup lên sóng trong loạt phim mới

Hậu trường Esports World Cup lên sóng trong loạt phim mới

(PLO)- Loạt phim tài liệu gồm 5 tập do đạo diễn đoạt giải Emmy R.J Cutler thực hiện, đưa khán giả đến với những câu chuyện con người đằng sau giải đấu esports lớn nhất thế giới, sẽ được phát hành trên YouTube dành cho khán giả Việt Nam

Cuộc đua AI trong ngành ngân hàng đang nóng lên

Cuộc đua AI trong ngành ngân hàng đang nóng lên

(PLO)- Sau giai đoạn đầu tập trung cho chuyển đổi số, nhiều ngân hàng đang bắt đầu tìm cách đưa AI vào các hoạt động vận hành hằng ngày nhằm tăng hiệu quả xử lý công việc và cải thiện trải nghiệm khách hàng.

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

(PLO)- Tin công nghệ 9-6 sẽ có các nội dung như mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay? Vì sao smartphone Android chưa phổ biến tính năng sạc không dây Qi2, OpenAI đang phát triển ChatGPT thành siêu ứng dụng, cách sử dụng công cụ chỉnh sửa Google Photos để làm ảnh nổi bật.

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

(PLO)- Viettel AI vừa công bố VT-Super-120B-A12B, mô hình ngôn ngữ lớn tiếng Việt có quy mô 120 tỷ tham số, được phát triển nhằm phục vụ các bài toán đặc thù của cơ quan, tổ chức và doanh nghiệp trong nước.

Những ‘món quà’ bất ngờ từ phần mềm lậu

Những ‘món quà’ bất ngờ từ phần mềm lậu

(PLO)-Các doanh nghiệp chủ quan cho phép cài các phần mềm lậu hay phần mềm bẻ khóa (crack) lên các máy tính trong mạng nội bộ đã vô tình rước hiểm họa an ninh mạng trực tiếp vào hệ thống của tổ chức.