Một chiến dịch lừa đảo trực tuyến mới, với thủ đoạn ngày càng tinh vi và khó lường, đang nhắm đến người dùng Facebook. Đáng lo ngại, các đối tượng đã khai thác một dịch vụ hợp pháp của Google nhằm qua mặt hệ thống bảo vệ của các nền tảng email, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn bao giờ hết
Theo đó, tội phạm mạng đã lợi dụng nền tảng không cần mã Google AppSheet để phát tán hàng loạt email lừa đảo. Do các email này được gửi từ địa chỉ “@appsheet.com” – một miền hợp pháp của Google – nên chúng dễ dàng vượt qua các cơ chế xác thực và kiểm tra độ uy tín như SPF, DKIM, DMARC của Microsoft, cũng như qua mặt nhiều hệ thống bảo mật email chuyên dụng (Secure Email Gateway). Đáng chú ý, mỗi email đều mang một ID riêng biệt, khiến các công cụ phát hiện truyền thống gần như bị vô hiệu hóa.
Nội dung các email lừa đảo được ngụy trang dưới dạng thông báo chính thức từ Facebook, với cáo buộc người dùng vi phạm quyền sở hữu trí tuệ và cảnh báo tài khoản sẽ bị xóa trong vòng 24 giờ. Để tránh bị khóa, người dùng được yêu cầu nhấp vào nút “Submit an Appeal” (gửi đơn kháng nghị). Tuy nhiên, khi thực hiện thao tác này, nạn nhân sẽ bị chuyển hướng đến một trang giả mạo có giao diện giống hệt trang đăng nhập Facebook. Đáng chú ý, trang giả mạo này được lưu trữ trên nền tảng uy tín Vercel, khiến chiến dịch lừa đảo trở nên thuyết phục và khó bị nghi ngờ hơn.
Tại trang giả mạo, nếu người dùng nhập thông tin đăng nhập và mã xác thực hai yếu tố (2FA), toàn bộ dữ liệu này sẽ lập tức bị chuyển về cho kẻ tấn công. Chiêu thức càng trở nên tinh vi khi lần đăng nhập đầu tiên thường bị hệ thống giả mạo báo “sai mật khẩu”, nhằm dụ nạn nhân nhập lại để xác thực thông tin một cách chắc chắn.
Đáng lo ngại hơn, ngay sau khi có được mã 2FA, kẻ tấn công sẽ sử dụng nó để đánh cắp mã phiên đăng nhập (session token) từ Facebook. Điều này cho phép chúng tiếp tục truy cập tài khoản của nạn nhân mà không cần mật khẩu, kể cả khi người dùng đã thực hiện thay đổi mật khẩu sau đó.
Khuyến cáo người dùng: Cần hết sức cảnh giác với các email yêu cầu hành động khẩn cấp hoặc cung cấp thông tin cá nhân, ngay cả khi chúng có vẻ đến từ nguồn đáng tin cậy. Luôn kiểm tra kỹ địa chỉ người gửi và không nhấp vào các liên kết đáng ngờ.
Theo Công an tỉnh Long An, Thông tin Chính phủ
