Cảnh báo: Tuyệt chiêu lợi dụng Google để tạo độ 'uy tín' rồi hack Facebook

1. Chiêu trò lừa khóa Facebook tinh vi như thật: 

Tin tặc sử dụng một email giả danh Facebook gửi cho người dùng, thông báo rằng tài khoản của người dùng vi phạm quyền sở hữu trí tuệ và sẽ bị xóa trong vòng 24 giờ.

Kèm theo nút "Submit an Appeal" (Gửi đơn kháng nghị) để tạo cảm giác khẩn cấp, buộc người dùng phải hành động ngay.

Khi nhấp vào liên kết, nạn nhân được chuyển đến một trang web giả mạo Facebook, được lưu trữ trên Vercel (một dịch vụ hosting uy tín).

Trang này yêu cầu người dùng nhập:

- Tên đăng nhập & mật khẩu Facebook

- Mã xác thực 2 bước (nếu có)

Thậm chí còn tinh vi đến nỗi khi người dùng đăng nhập lần đầu, hệ thống cố tình báo lỗi "Sai mật khẩu" để buộc người dùng nhập lại, đảm bảo thông tin chúng đánh cắp được là chính xác.

Sau khi lấy được thông tin đăng nhập và mã xác thực 2 bước, tin tặc đăng nhập ngay vào tài khoản Facebook của nạn nhân.

Chúng còn đánh cắp mã phiên đăng nhập (session token), cho phép duy trì quyền truy cập ngay cả khi người dùng đã đổi mật khẩu.

2. Vì sao tin tặc có thể gửi email giả danh mà không bị hệ thống phát hiện và trông rất “đáng tin cậy” đến thế?

Mấu chốt là những đối tượng này đã sử dụng Google AppSheet (một nền tảng phát triển ứng dụng không cần mã của Google) để gửi email lừa đảo.

Email được gửi từ địa chỉ "@appsheet.com" – một tên miền hợp pháp của Google, giúp chúng dễ dàng qua mặt các cơ chế bảo mật như:

- SPF (Khung chính sách người gửi)

- DKIM (Mail xác định của DomainKeys)

- DMARC (Xác thực tin nhắn dựa trên tên miền)

Vì vậy, email lừa đảo dễ dàng xuất hiện trong hộp thư chính (Inbox) mà không bị gắn cờ là nguy hiểm.

Làm sao để phòng tránh tình trạng lừa đảo bằng email giả?

- Luôn kiểm tra kỹ địa chỉ email người gửi, ngay cả khi trông có vẻ hợp lệ.

- Nếu nhận được email đe dọa khóa tài khoản, hãy bình tĩnh, kiểm tra lại thật kỹ và đừng vội ấn vào link đính kèm.

- Sử dụng xác thực 2 lớp bằng ứng dụng Authenticator thay vì SMS (mã OTP qua tin nhắn dễ bị đánh cắp hơn).

- Luôn kiểm tra URL trang web trước khi nhập thông tin. Không nhập thông tin đăng nhập trên trang lạ, ngay cả khi giao diện trông giống thật.

Với mức độ tinh vi ngày càng cao của tội phạm mạng, người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật tối ưu để bảo vệ tài khoản của mình.

Xem thêm: Gần 400.000 máy tính đã nhiễm mã độc này, nghiêm trọng đến mức Microsoft phải phát cảnh báo khẩn cấp

Xem thêm: Cảnh báo đầu tư qua ứng dụng ví điện tử giả, có người đã bị lừa mất hơn 300 triệu đồng

Xem thêm: Hơn 2,5 triệu điện thoại đang bị mã độc Kaleidoscope tấn công, cảnh báo nóng ngay lúc này