Chiêu thức đánh cắp tài khoản Facebook khiến ai cũng có thể sập bẫy
Tin tặc lợi dụng các dịch vụ của Google để qua mặt hệ thống bảo mật và đánh cắp tài khoản Facebook.
Video
Cảnh giác chiêu trò đánh cắp tài khoản Facebook tinh vi. Video: MINH HOÀNG
Các chuyên gia an ninh mạng từ KnowBe4 (Hoa Kỳ) vừa phát đi cảnh báo về một đợt tấn công lừa đảo mới nhắm vào người dùng Facebook. Điểm đáng lo ngại trong chiến dịch này là việc tin tặc lợi dụng Google AppSheet để gửi email từ địa chỉ @appsheet.com vốn được Google xác thực, qua mặt các lớp bảo vệ thông thường như SPF, DKIM và DMARC.
Chính vì được gửi từ một nguồn hợp pháp, những email giả mạo này không bị đánh dấu là nguy hiểm, dễ dàng xuất hiện trong hộp thư đến của người dùng.
Nội dung thư thường đưa ra cảnh báo vi phạm bản quyền hoặc điều khoản cộng đồng, đe dọa khóa tài khoản trong vòng 24 giờ. Kèm theo đó là nút "Submit an Appeal" (Gửi đơn kháng nghị), tạo cảm giác cấp bách buộc người dùng phản hồi ngay lập tức.
Khi nhấp vào liên kết, nạn nhân sẽ được dẫn tới một trang giả mạo đăng nhập Facebook, được lưu trữ trên Vercel (một nền tảng uy tín chuyên lưu trữ ứng dụng web). Sự hợp pháp của tên miền càng khiến người dùng khó phân biệt thật giả. Nếu điền thông tin đăng nhập và mã xác thực hai yếu tố (2FA), toàn bộ dữ liệu sẽ lập tức bị chuyển đến kẻ tấn công.
Hình thức lừa đảo đánh cắp tài khoản Facebook tinh vi vừa xuất hiện. Ảnh minh họa: AI
Chiêu trò còn tinh vi hơn khi website giả mạo cố tình báo sai mật khẩu ở lần đăng nhập đầu tiên nhằm buộc người dùng nhập lại, tăng tính xác thực thông tin.
Sau khi có được tài khoản và mã 2FA, tin tặc sẽ truy cập vào Facebook nạn nhân và nhanh chóng chiếm đoạt quyền kiểm soát. Đặc biệt, chúng còn lấy được mã phiên truy cập (session token), cho phép duy trì quyền truy cập ngay cả khi người dùng đã đổi mật khẩu.
Đây là một ví dụ rõ nét cho thấy tội phạm mạng đang khai thác chính các nền tảng hợp pháp để qua mặt hệ thống phòng vệ, khiến các email lừa đảo ngày càng khó phát hiện hơn.
Người dùng được khuyến cáo không nhấp vào liên kết trong email yêu cầu hành động khẩn cấp, luôn kiểm tra kỹ địa chỉ người gửi và tuyệt đối không nhập thông tin đăng nhập nếu chưa chắc chắn về tính xác thực của trang web.
