Hacker "mượn tay" Google để đánh cắp 30.000 tài khoản

Hacker "mượn tay" Google để đánh cắp 30.000 tài khoản Facebook

Chiêu trò hack Facebook tinh vi có thể xuyên thấu mọi lớp bảo mật, lợi dụng chính kẽ hở của Google.

Một chiến dịch tấn công giả mạo quy mô lớn vừa bị phanh phui, cho thấy sự tinh vi của tội phạm mạng khi lợi dụng chính các dịch vụ uy tín của Google để vượt qua mọi hàng rào bảo mật, nhắm thẳng vào các tài khoản Facebook Business đang 'hái ra tiền'.

Khi Google trở thành cầu nối cho hacker tấn công Facebook

Thông thường, các email lừa đảo sẽ bị bộ lọc rác chặn lại nhờ các giao thức kỹ thuật như SPF, DKIM hay DMARC. Tuy nhiên, các nhà nghiên cứu bảo mật vừa phát hiện ra một chiến dịch 'lách luật' thông minh: Sử dụng nền tảng Google AppSheet.

Bằng cách tận dụng công cụ tạo ứng dụng không cần mã nguồn của Google, kẻ tấn công có thể gửi đi các email từ địa chỉ chính thống của Google ([email protected]). Vì thư đến từ một nguồn đáng tin cậy, chúng dễ dàng vượt qua mọi bộ lọc và xuất hiện trong hộp thư đến của nạn nhân với vẻ ngoài không thể uy tín hơn.

Hacker 'mượn tay' Google để đánh cắp 30.000 tài khoản Facebook - Ảnh 1. — Chiến dịch lợi dụng Google để đánh cắp tài khoản Facebook

Mục tiêu của chiến dịch này không phải là người dùng phổ thông, mà là các tài khoản doanh nghiệp, trang Fanpage thương hiệu và tài khoản quảng cáo. Đây là những tài khoản có giá trị kinh tế cực lớn trên thị trường đen.

Nội dung email thường mang tính hối thúc, đánh vào tâm lý lo sợ như: "Tài khoản của bạn vi phạm bản quyền", "Cảnh báo khóa trang trong 24 giờ" hoặc "Yêu cầu xác minh danh tính khẩn cấp". Khi nạn nhân hoảng loạn nhấn vào đường link, họ sẽ được dẫn đến một trang web giả mạo được thiết kế tỉ mỉ để thu thập toàn bộ thông tin nhạy cảm như mật khẩu, mã 2FA, ngày sinh và thậm chí là ảnh căn cước công dân.

Đáng chú ý, các nhà nghiên cứu đã liên kết chiến dịch này với một tổ chức có liên quan đến Việt Nam, hiện đã chiếm đoạt thành công khoảng 30.000 tài khoản và vẫn đang hoạt động mạnh mẽ.

Sau khi chiếm quyền điều khiển, nhóm này không chỉ dùng tài khoản để chạy quảng cáo gian lận hoặc rao bán, mà còn thực hiện cả chiêu trò cung cấp dịch vụ khôi phục tài khoản cho chính những nạn nhân mà chúng vừa đánh bẫy. Toàn bộ quy trình thu thập dữ liệu được công nghiệp hóa thông qua các hệ thống bot Telegram tự động.

Để không trở thành nạn nhân tiếp theo, người dùng cần ghi nhớ:

Facebook không bao giờ gửi cảnh báo qua Google: Mọi thông báo về chính sách hoặc khóa tài khoản sẽ xuất hiện trực tiếp trong Facebook Business Manager hoặc hộp thư hỗ trợ của Facebook, không bao giờ đi qua hạ tầng của Google AppSheet.
Kiểm tra kỹ các yêu cầu thông tin: Nếu một biểu mẫu yêu cầu cung cấp mã 2FA và hình ảnh giấy tờ tùy thân cùng một lúc, đó chắc chắn là lừa đảo.
Tuyệt đối không bấm vào link: Khi nhận được email cảnh báo, hãy tự truy cập vào Facebook bằng cách gõ địa chỉ vào trình duyệt hoặc mở ứng dụng chính thức.

//Chèn ads giữa bài (runinit = window.runinit || []).push(function () { //Nếu k chạy ads thì return if (typeof _chkPrLink != 'undefined' && _chkPrLink) return; var mutexAds = '<zone id="l2srqb41"></zone>'; var content = $('[data-role="content"]'); if (content.length > 0) { var childNodes = content[0].childNodes; for (i = 0; i < childNodes.length; i++) { var childNode = childNodes[i]; var isPhotoOrVideo = false; if (childNode.nodeName.toLowerCase() == 'div') { // kiem tra xem co la anh khong? var type = $(childNode).attr('class') + ''; if (type.indexOf('VCSortableInPreviewMode') >= 0) { isPhotoOrVideo = true; } } try { if ((i >= childNodes.length / 2 - 1) && (i < childNodes.length / 2) && !isPhotoOrVideo) { if (i <= childNodes.length - 3) { childNode.after(htmlToElement(mutexAds)); arfAsync.push("l2srqb41"); } break; } } catch (e) { } } } }); function htmlToElement(html) { var template = document.createElement('template'); template.innerHTML = html; return template.content.firstChild; }

if (window.pageSettings && pageSettings.allow3rd && (typeof window._isAdsHidden === 'undefined' || !window._isAdsHidden)) { if (!laNuocNgoai) { (function (w, q) { w[q] = w[q] || []; w[q].push(["_mgc.load"]); })(window, "_mgq"); } } (function() { if (!(window.pageSettings && pageSettings.allow3rd && (typeof window._isAdsHidden === 'undefined' || !window._isAdsHidden))) return; if (typeof window.laNuocNgoai === 'undefined' || !window.laNuocNgoai) return; // chỉ chạy khi laNuocNgoai true var containerSelector = 'div.detail-cmain'; var root = document.querySelector(containerSelector); if (!root) return; // Thu thập figure + p (p không nằm trong figure) var figures = Array.from(root.querySelectorAll('figure')); var paragraphs = Array.from(root.querySelectorAll('p')).filter(function(p){ return !p.closest('figure'); }); var elements = figures.concat(paragraphs); // NodeList vốn đã theo DOM order => không cần sort if (!elements.length) return; var target = elements[Math.floor(elements.length / 2)]; // giữa bài if (!target || !target.parentNode) return; var newDiv = document.createElement('div'); newDiv.id = 'taboola-mid-article-widget'; target.parentNode.insertBefore(newDiv, target.nextSibling); window._taboola = window._taboola || []; window._taboola.push({ mode: 'thumbnails-4x1', container: 'taboola-mid-article-widget', placement: 'Mid Article Widget', target_type: 'mix' }); })();