MinhSec
Writer
Công ty an ninh mạng Sublime Security vừa lên tiếng cảnh báo về một chiến dịch lừa đảo quy mô lớn, nhắm vào những người đang tìm việc làm trực tuyến. Theo báo cáo công bố ngày 16/10/2025, kẻ gian đã tạo ra các thư mời làm việc giả mạo từ những thương hiệu nổi tiếng như KFC, Red Bull và Ferrari, nhằm đánh cắp thông tin đăng nhập Facebook của nạn nhân.
Chiêu trò này lợi dụng tâm lý tìm việc trong giai đoạn thị trường lao động khó khăn tại Mỹ. Những email lừa đảo được gửi đến người dùng với nội dung hấp dẫn như “Tuyển Quản lý Truyền thông Xã hội”, kèm logo, chữ ký và địa chỉ giả mạo của các thương hiệu lớn. Theo chuyên gia Bryan Campbell từ Sublime, những email này có thể được tạo hàng loạt bằng mô hình ngôn ngữ lớn (LLM) công cụ AI có khả năng viết nội dung giống con người, giúp kẻ xấu tung ra hàng loạt thông điệp khác nhau trong thời gian ngắn.
Đáng chú ý, các email thường được gửi thông qua Google Workspace hoặc Microsoft 365, khiến người nhận càng tin tưởng hơn rằng đây là lời mời thật.
Khi người dùng nhấp vào liên kết trong email, họ sẽ được chuyển đến một trang “kiểm tra bảo mật” giả mạo, sau đó dẫn đến một trang web tuyển dụng mô phỏng giống hệt Glassdoor. Ở đây, nạn nhân được yêu cầu “nộp hồ sơ” và đăng nhập bằng tài khoản email hoặc Facebook.
Nếu đăng nhập bằng email thất bại, người dùng sẽ được chuyển đến một trang đăng nhập Facebook giả. Sau khi nhập tài khoản và mật khẩu, trang sẽ hiển thị thanh tải giả vờ xử lý hồ sơ, nhưng thực tế là thông tin của người dùng đã bị gửi thẳng đến máy chủ của kẻ lừa đảo.
Các nhà nghiên cứu cảnh báo người dùng cần đặc biệt chú ý tới đường dẫn (URL). Ví dụ, một liên kết như www.redbull@rebrand.ly
thoạt nhìn có vẻ hợp lệ, nhưng thật ra là một địa chỉ chuyển hướng đến trang web lừa đảo khác. Ngoài ra, địa chỉ email gửi và địa chỉ trả lời thường không trùng khớp với tên miền thật của thương hiệu (như redbull.com hoặc kfc.com).
Sublime Security cho biết, đây chỉ là một phần trong chuỗi chiến dịch lừa đảo đang lan rộng. Trước đó, vào ngày 14/10, công ty này cũng phát hiện một vụ tương tự mạo danh Google Careers để đánh cắp thông tin đăng nhập. Việc kẻ gian nhanh chóng chuyển mục tiêu sang Facebook cho thấy tốc độ thích nghi và thay đổi chiến thuật của tội phạm mạng hiện nay.
Lời khuyên:
Không nhấp vào đường link tuyển dụng lạ, đặc biệt khi được yêu cầu đăng nhập Facebook hoặc email.
Kiểm tra kỹ địa chỉ người gửi và đường dẫn website.
Bật xác thực hai bước (2FA) cho các tài khoản mạng xã hội.
Nếu lỡ nhập thông tin, hãy đổi mật khẩu ngay lập tức và kiểm tra hoạt động đăng nhập đáng ngờ.
Chiêu trò này lợi dụng tâm lý tìm việc trong giai đoạn thị trường lao động khó khăn tại Mỹ. Những email lừa đảo được gửi đến người dùng với nội dung hấp dẫn như “Tuyển Quản lý Truyền thông Xã hội”, kèm logo, chữ ký và địa chỉ giả mạo của các thương hiệu lớn. Theo chuyên gia Bryan Campbell từ Sublime, những email này có thể được tạo hàng loạt bằng mô hình ngôn ngữ lớn (LLM) công cụ AI có khả năng viết nội dung giống con người, giúp kẻ xấu tung ra hàng loạt thông điệp khác nhau trong thời gian ngắn.
Đáng chú ý, các email thường được gửi thông qua Google Workspace hoặc Microsoft 365, khiến người nhận càng tin tưởng hơn rằng đây là lời mời thật.
Cách thức hoạt động và dấu hiệu nhận biết
Khi người dùng nhấp vào liên kết trong email, họ sẽ được chuyển đến một trang “kiểm tra bảo mật” giả mạo, sau đó dẫn đến một trang web tuyển dụng mô phỏng giống hệt Glassdoor. Ở đây, nạn nhân được yêu cầu “nộp hồ sơ” và đăng nhập bằng tài khoản email hoặc Facebook.
Nếu đăng nhập bằng email thất bại, người dùng sẽ được chuyển đến một trang đăng nhập Facebook giả. Sau khi nhập tài khoản và mật khẩu, trang sẽ hiển thị thanh tải giả vờ xử lý hồ sơ, nhưng thực tế là thông tin của người dùng đã bị gửi thẳng đến máy chủ của kẻ lừa đảo.
Các nhà nghiên cứu cảnh báo người dùng cần đặc biệt chú ý tới đường dẫn (URL). Ví dụ, một liên kết như www.redbull@rebrand.ly
thoạt nhìn có vẻ hợp lệ, nhưng thật ra là một địa chỉ chuyển hướng đến trang web lừa đảo khác. Ngoài ra, địa chỉ email gửi và địa chỉ trả lời thường không trùng khớp với tên miền thật của thương hiệu (như redbull.com hoặc kfc.com).
Sublime Security cho biết, đây chỉ là một phần trong chuỗi chiến dịch lừa đảo đang lan rộng. Trước đó, vào ngày 14/10, công ty này cũng phát hiện một vụ tương tự mạo danh Google Careers để đánh cắp thông tin đăng nhập. Việc kẻ gian nhanh chóng chuyển mục tiêu sang Facebook cho thấy tốc độ thích nghi và thay đổi chiến thuật của tội phạm mạng hiện nay.
Lời khuyên:
Không nhấp vào đường link tuyển dụng lạ, đặc biệt khi được yêu cầu đăng nhập Facebook hoặc email.
Kiểm tra kỹ địa chỉ người gửi và đường dẫn website.
Bật xác thực hai bước (2FA) cho các tài khoản mạng xã hội.
Nếu lỡ nhập thông tin, hãy đổi mật khẩu ngay lập tức và kiểm tra hoạt động đăng nhập đáng ngờ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
