Theo The Hacker News, một chiến dịch nhắm thẳng vào các tài khoản Facebook có giá trị cao đã diễn ra nhờ lợi dụng lỗ hổng từ Google. Thông thường, các email lừa đảo mạo danh bủa vây người dùng sẽ bị hệ thống lọc thư rác của máy chủ chặn lại nhờ các giao thức kiểm tra kỹ thuật nghiêm ngặt như SPF, DKIM hay DMARC. Tuy nhiên, theo công bố từ các nhà nghiên cứu bảo mật của tổ chức ESET, tin tặc đã tìm ra một phương thức "lách luật" vô cùng thông minh bằng cách sử dụng nền tảng Google AppSheet.

Bằng việc tận dụng công cụ tạo ứng dụng không cần viết mã này của Google, kẻ tấn công có thể phát tán hàng loạt email lừa đảo xuất phát từ chính địa chỉ thư điện tử chính thống của hệ thống (noreply@appsheet.com). Do bức thư được gửi đi từ một máy chủ có độ tin cậy tuyệt đối, chúng dễ dàng qua mặt mọi bộ lọc an ninh khắt khe nhất để chễm chệ nằm trong hộp thư đến của nạn nhân với một vẻ ngoài uy tín và hoàn toàn hợp lệ.

Email giả mạo có giao diện và địa chỉ gửi rất khó nhận biết, nếu người dùng Facebook ấn vào và điền thông tin sẽ bị chiếm tài khoản

Chiến dịch mạo danh tinh vi này không nhắm đến những người dùng phổ thông mà tập trung vào "miếng mồi ngon" là các tài khoản doanh nghiệp, trang Fanpage thương hiệu và tài khoản quảng cáo. Các chuyên gia từ ESET cho biết nội dung email thường được thiết kế để tạo ra sự hoảng loạn tột độ, sử dụng các tiêu đề hối thúc như cảnh báo vi phạm bản quyền, dọa khóa trang vĩnh viễn trong 24 giờ hoặc yêu cầu xác minh danh tính khẩn cấp.

Khi nạn nhân mất bình tĩnh và nhấn vào đường link đính kèm, họ sẽ bị điều hướng đến một trang web giả mạo được thiết kế tỉ mỉ. Tại đây, mã độc sẽ âm thầm thu thập toàn bộ dữ liệu nhạy cảm nhất, từ mật khẩu, mã xác thực hai yếu tố (2FA), ngày sinh cho đến cả hình ảnh chụp căn cước công dân.

Đáng chú ý, nghiên cứu của ESET đã liên kết chiến dịch quy mô này với một tổ chức tội phạm mạng có liên quan đến Việt Nam. Tính đến nay, nhóm này đã chiếm đoạt thành công khoảng 30.000 tài khoản. Sau khi nắm quyền kiểm soát, chúng lập tức dùng tài khoản để chạy quảng cáo bẩn, rao bán trên chợ đen, hoặc nguy hiểm hơn là đóng vai chuyên gia công nghệ để cung cấp dịch vụ khôi phục tài khoản nhằm bòn rút thêm tiền từ chính nạn nhân. Toàn bộ quy trình tàn nhẫn này đã được công nghiệp hóa qua các hệ thống bot tự động trên Telegram.

Trước mức độ tinh vi của thủ đoạn đánh cắp chéo nền tảng này, người dùng sở hữu tài khoản doanh nghiệp cần thiết lập nguyên tắc bảo mật tối cao. Nguyên tắc đầu tiên cần nhớ là mạng xã hội Facebook sẽ không bao giờ gửi các cảnh báo vi phạm chính sách hoặc đe dọa khóa tài khoản thông qua hạ tầng email của Google AppSheet. Mọi thông báo chính thống đều được hệ thống hiển thị trực tiếp bên trong trình quản lý Facebook Business Manager hoặc hộp thư hỗ trợ của nền tảng.

Bên cạnh đó, người dùng cần đặc biệt cảnh giác với các yêu cầu xác minh danh tính hỗn hợp. Nếu một biểu mẫu trang web yêu cầu bạn phải nhập mật khẩu, mã 2FA và tải lên hình ảnh giấy tờ tùy thân cùng một lúc, đó chắc chắn là một cái bẫy lừa đảo được giăng sẵn. Để đảm bảo an toàn tuyệt đối, khi nhận được bất kỳ email cảnh báo nào, hãy phớt lờ các đường link đính kèm. Thay vào đó, bạn nên chủ động mở ứng dụng chính thức hoặc tự gõ địa chỉ website của nền tảng vào trình duyệt để kiểm tra trạng thái tài khoản thực tế.