Các chuyên gia an ninh mạng từ Guardio Labs vừa công bố kết quả điều tra về chiến dịch phishing mang tên “AccountDumpling”, được đánh giá là một trong những vụ lừa đảo chiếm quyền truy cập Facebook tinh vi nhất từ đầu năm đến nay.
Theo dữ liệu thu thập được, khoảng 30.000 tài khoản Facebook, chủ yếu là tài khoản Facebook Business, tài khoản quảng cáo và quản trị fanpage doanh nghiệp, đã bị chiếm đoạt thành công trước khi dữ liệu bị rao bán trên các chợ đen trực tuyến.
Điểm đặc biệt khiến chiến dịch này nguy hiểm nằm ở chỗ tin tặc không gửi email từ các địa chỉ giả mạo sơ sài như thông thường, mà lợi dụng nền tảng Google AppSheet – một công cụ no-code hợp pháp của Google – để phát tán thư từ địa chỉ noreply@appsheet.com.
Do email được gửi đi từ máy chủ chính thức của Google nên chúng dễ dàng vượt qua các lớp xác thực bảo mật phổ biến như SPF, DKIM và DMARC, đồng thời lọt qua hầu hết bộ lọc spam của người dùng. Điều này khiến nạn nhân có xu hướng tin rằng đây là thông báo hợp pháp từ hệ thống.
Mạo danh Meta, đánh vào tâm lý hoảng loạn của chủ tài khoản
Theo phân tích, mồi nhử chủ yếu mà nhóm tội phạm sử dụng là các email giả danh bộ phận hỗ trợ của Meta Platforms với nội dung cảnh báo tài khoản quảng cáo, fanpage hoặc tài khoản doanh nghiệp đang đứng trước nguy cơ bị khóa vĩnh viễn do vi phạm chính sách, bản quyền hoặc cần xác minh khẩn cấp.
Nạn nhân được yêu cầu nhấp vào nút “gửi đơn kháng nghị”, “xác minh bảo mật”, “kiểm tra tích xanh miễn phí” hoặc “trung tâm hỗ trợ Meta”.
Khi click vào, họ bị điều hướng tới những website giả được dựng cực kỳ giống giao diện trung tâm trợ giúp Facebook, đặt trên các nền tảng uy tín như Netlify, Vercel hoặc Google Drive PDF nhằm tăng độ tin cậy.
Tại đây, người dùng bị dẫn dụ nhập:
tên đăng nhập Facebook mật khẩu số điện thoại ngày sinh mã xác thực hai lớp (2FA) ảnh chụp CCCD/hộ chiếu thậm chí cả ảnh màn hình trình duyệt
Toàn bộ dữ liệu sau đó được đẩy trực tiếp về các bot Telegram do nhóm vận hành kiểm soát theo thời gian thực, cho phép chúng đăng nhập và chiếm tài khoản gần như ngay lập tức.
4 kịch bản lừa đảo được triển khai đồng loạt
Guardio xác định nhóm tin tặc đã xây dựng ít nhất 4 mô hình tấn công song song:
Giả thông báo vi phạm chính sách Facebook để buộc nạn nhân kháng nghị Mồi nhử cấp tích xanh miễn phí hoặc nâng bảo mật tài khoản File PDF hướng dẫn xác minh Meta lưu trên Google Drive để tăng độ tin cậy Mạo danh tuyển dụng từ các tập đoàn lớn như WhatsApp, Apple, Adobe, Coca-Cola nhằm tạo quan hệ rồi kéo nạn nhân vào trang độc hại
Cách làm này cho thấy đây không còn là kiểu phishing nghiệp dư mà là một “chuỗi công nghiệp tội phạm số” khép kín: đánh cắp – xác thực – chiếm quyền – rao bán – thậm chí cung cấp luôn dịch vụ khôi phục tài khoản để kiếm tiền lần hai.
Chiến dịch có dấu hiệu vận hành chuyên nghiệp, liên tục tiến hóa
Chuyên gia bảo mật Shaked Chen của Guardio nhận định đây là một hệ sinh thái lừa đảo hoàn chỉnh với bảng điều khiển giám sát nạn nhân theo thời gian thực, nhiều lớp website dự phòng và khả năng thay đổi nội dung liên tục để né phát hiện.
Trên các diễn đàn an ninh mạng và cộng đồng bảo mật, nhiều chuyên gia cũng đánh giá đây là ví dụ điển hình cho xu hướng tội phạm mạng hiện nay: không còn tạo lớp vỏ giả mạo kém chất lượng mà chuyển sang khai thác chính hạ tầng công nghệ uy tín như Google, Telegram, Netlify hay Vercel để tăng tỷ lệ thành công.
Người dùng Facebook cần làm gì để tránh mất tài khoản?
Các chuyên gia khuyến cáo, người dùng – đặc biệt là chủ fanpage, tài khoản quảng cáo và Facebook Business – cần đặc biệt cảnh giác với mọi email mang nội dung “khẩn cấp” liên quan tới Meta, kể cả khi email được gửi từ tên miền có vẻ hợp pháp.
Người dùng tuyệt đối không:
nhấp vào link xác minh từ email lạ cung cấp mật khẩu qua biểu mẫu web gửi mã 2FA cho bất kỳ ai tải lên giấy tờ tùy thân nếu chưa xác minh nguồn chính thức
Thay vào đó, nếu nhận được thông báo vi phạm, hãy đăng nhập trực tiếp vào Facebook hoặc Business Manager từ ứng dụng/chính trang chủ để kiểm tra.
Ngoài ra nên:
bật xác thực hai lớp bằng ứng dụng Authenticator bật cảnh báo đăng nhập lạ rà soát quyền quản trị fanpage thường xuyên đổi mật khẩu ngay nếu từng nhập thông tin vào các link đáng ngờ
Trong bối cảnh các chiến dịch phishing ngày càng tinh vi và biết tận dụng niềm tin vào các nền tảng công nghệ lớn, chỉ một cú nhấp chuột thiếu cảnh giác cũng có thể khiến cả hệ thống tài khoản doanh nghiệp bị đánh cắp trong vài phút.
Bình luận
0