Một chiến dịch phishing tinh vi mới vừa bị các chuyên gia an ninh mạng phanh phui, trong đó tin tặc lợi dụng chính hệ thống gửi email hợp pháp của Google để phát tán thông điệp lừa đảo, qua mặt hầu hết bộ lọc email doanh nghiệp và thu thập thông tin đăng nhập nhạy cảm từ nạn nhân.
Trong chiến dịch diễn ra từ giữa đến cuối tháng 12/2025, kẻ xấu đã gửi tổng cộng gần 9.400 email phishing tới khoảng 3.200 tổ chức và cá nhân tại nhiều khu vực như Mỹ, châu Á - Thái Bình Dương, châu Âu, Canada và Mỹ Latinh. Những email này sử dụng địa chỉ hợp pháp của Google là "noreply-application-integration@google[.]com", khiến chúng hiếm khi bị chặn bởi các giải pháp bảo mật email thông thường.
Đáng lưu ý, nội dung email hay nội dung thông báo được thiết kế trông rất giống thông báo thông thường, kể cả việc mô phỏng cách trình bày của Google Tasks (một công cụ quản lý công việc quen thuộc trong Google Workspace). Điều này khiến người nhận ít nghi ngờ và dễ bấm vào các liên kết trong email.
Về bản chất, đây không phải là một lỗ hổng bảo mật trong Google mà là hành vi lạm dụng tính năng “Send Email” của dịch vụ Google Cloud Application Integration. Vì những email này đến từ hạ tầng hợp pháp của Google, chúng vượt qua tất cả kiểm tra xác thực như SPF, DKIM và DMARC, tạo ra một “lỗ hổng niềm tin” khiến hệ thống và người dùng mặc định tin là email an toàn.
Trong chiến dịch diễn ra từ giữa đến cuối tháng 12/2025, kẻ xấu đã gửi tổng cộng gần 9.400 email phishing tới khoảng 3.200 tổ chức và cá nhân tại nhiều khu vực như Mỹ, châu Á - Thái Bình Dương, châu Âu, Canada và Mỹ Latinh. Những email này sử dụng địa chỉ hợp pháp của Google là "noreply-application-integration@google[.]com", khiến chúng hiếm khi bị chặn bởi các giải pháp bảo mật email thông thường.
Đáng lưu ý, nội dung email hay nội dung thông báo được thiết kế trông rất giống thông báo thông thường, kể cả việc mô phỏng cách trình bày của Google Tasks (một công cụ quản lý công việc quen thuộc trong Google Workspace). Điều này khiến người nhận ít nghi ngờ và dễ bấm vào các liên kết trong email.
Về bản chất, đây không phải là một lỗ hổng bảo mật trong Google mà là hành vi lạm dụng tính năng “Send Email” của dịch vụ Google Cloud Application Integration. Vì những email này đến từ hạ tầng hợp pháp của Google, chúng vượt qua tất cả kiểm tra xác thực như SPF, DKIM và DMARC, tạo ra một “lỗ hổng niềm tin” khiến hệ thống và người dùng mặc định tin là email an toàn.
Khi người dùng nhấp vào liên kết trong email, họ sẽ được đưa đến các trang hợp pháp của Google như storage.cloud.google[.]com hoặc googleusercontent[.]com trước khi bị chuyển tiếp tới trang đăng nhập Microsoft giả mạo, nơi tin tặc có thể thu thập thông tin đăng nhập Microsoft 365 của nạn nhân.
Chiến dịch này đặc biệt nhắm vào các ngành thường xuyên sử dụng email tự động và chia sẻ tài liệu, bao gồm sản xuất, công nghệ, tài chính, dịch vụ chuyên nghiệp và bán lẻ, cũng như nhiều lĩnh vực khác như giáo dục, y tế và chính phủ.
Hậu quả của việc bị lừa truy cập trang đăng nhập giả có thể rất nghiêm trọng: tin tặc có thể truy cập email doanh nghiệp, tài liệu nội bộ và thậm chí sử dụng tài khoản bị chiếm làm đòn bẩy cho các cuộc tấn công tiếp theo, như gửi email lừa đảo từ chính tài khoản đó, truy cập OneDrive hay Teams…
Để phòng tránh, các chuyên gia an ninh mạng khuyến cáo người dùng và tổ chức nên:
- Không mặc định tin email chỉ vì nó từ @google.com
- Luôn kiểm tra đường dẫn URL trước khi nhập thông tin
- Kích hoạt xác thực đa yếu tố (MFA) cho tài khoản Microsoft 365
- Đào tạo nhân viên nhận diện email lừa đảo tinh vi
Google sau đó đã thông báo đã chặn một số chiến dịch lừa đảo sử dụng tính năng gửi email của Google Cloud, đồng thời tăng cường các biện pháp ngăn chặn tương tự xảy ra trong tương lai.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
