Xuất hiện chiêu lừa đảo Gmail mới cực kỳ tinh vi: Dùng chính tên miền google.com để đánh cắp tài khoản!

[Thế Việt]

Một chiến dịch lừa đảo tinh vi đang nhắm vào người dùng Gmail bằng email giả mạo thông báo bảo mật từ Google, vượt qua xác thực DKIM và dùng chính tên miền google để dẫn dụ đánh cắp tài khoản.

Một cảnh báo bảo mật khẩn cấp vừa được đưa ra cho hàng triệu người dùng Gmail trên toàn thế giới. Một chiến dịch lừa đảo (phishing) cực kỳ tinh vi đang diễn ra, sử dụng các email giả mạo dưới dạng thông báo bảo mật quan trọng từ chính Google (liên quan đến trát đòi của tòa án yêu cầu cung cấp nội dung tài khoản). Điểm nguy hiểm nhất là các email lừa đảo này trông giống hệt email thật, được gửi từ địa chỉ @google.com, vượt qua được các bước xác thực email nghiêm ngặt của Google và dẫn người dùng đến các trang đăng nhập giả mạo được lưu trữ trên chính nền tảng sites.google.com.

Chiêu trò lừa đảo tinh vi khó lường

Vụ việc được phát giác và báo cáo lần đầu vào ngày 16/4 bởi một nhà phát triển phần mềm tên Nick Johnson trên mạng xã hội X. Email lừa đảo mà anh nhận được có tiêu đề và nội dung cảnh báo rằng Google đã nhận được trát đòi của tòa án yêu cầu cung cấp bản sao nội dung tài khoản Google của anh. Email đề nghị anh nhấp vào đường link đính kèm dẫn đến trang hỗ trợ của Google để xem chi tiết hoặc gửi phản đối.

Điều khiến chiêu lừa đảo này trở nên đặc biệt nguy hiểm là các yếu tố tạo dựng lòng tin gần như hoàn hảo:

• Địa chỉ người gửi: Email được gửi từ địa chỉ no-reply@google.com.
• Xác thực thành công: Email này vượt qua được các bước kiểm tra xác thực thư nghiêm ngặt DomainKeys Identified Mail (DKIM) mà chính Gmail đang áp dụng (và Microsoft cũng sắp áp dụng cho Outlook từ 5/5). Điều này thường giúp người dùng tin rằng email đến từ đúng người gửi hợp pháp. Theo chuyên gia Melissa Bischoping từ Tanium, kẻ tấn công đã lợi dụng một ứng dụng OAuth kết hợp với "thủ thuật DKIM sáng tạo" để vượt qua hàng rào này.
• Tích hợp vào luồng thư: Email lừa đảo thậm chí còn được Gmail tự động xếp vào cùng luồng hội thoại với các email thông báo bảo mật hợp lệ khác từ Google mà người dùng từng nhận.
• Trang đích giả mạo trên tên miền Google: Đường link trong email dẫn đến một trang hỗ trợ và trang đăng nhập được sao chép y hệt giao diện của Google, nhưng lại được lưu trữ trên nền tảng sites.google.com. Việc trang giả mạo nằm trên tên miền con của google.com khiến người dùng rất khó phát hiện nếu không kiểm tra kỹ địa chỉ đầy đủ (trang đăng nhập thật phải là accounts.google.com).

Nếu người dùng mất cảnh giác và nhập thông tin đăng nhập (tên người dùng, mật khẩu) vào trang giả mạo này, tài khoản Google của họ sẽ rơi vào tay hacker, kéo theo nguy cơ mất kiểm soát Gmail, Google Drive và tất cả dữ liệu nhạy cảm liên quan.

Phản hồi từ Google và lời khuyên cho người dùng

Tin tốt là Google đã xác nhận về chiến dịch tấn công này và cho biết đang triển khai các biện pháp bảo vệ để chống lại các cuộc tấn công cụ thể từ tác nhân đe dọa này. "Các biện pháp bảo vệ này sẽ sớm được triển khai đầy đủ, điều này sẽ chặn đứng con đường lạm dụng này," một phát ngôn viên của Google cho biết.

Trong thời gian chờ đợi, Google đưa ra lời khuyên quan trọng cho người dùng để tự bảo vệ mình:

• Kích hoạt Xác thực hai yếu tố (2FA): Đây là lớp bảo vệ cực kỳ quan trọng, ngay cả khi mật khẩu bị lộ, kẻ gian vẫn cần mã xác thực thứ hai.
• Chuyển sang sử dụng Passkeys (Khóa đăng nhập): Phương thức đăng nhập mới không cần mật khẩu, sử dụng mã hóa và sinh trắc học, cung cấp "sự bảo vệ mạnh mẽ chống lại các loại chiến dịch lừa đảo này".

Chuyên gia Melissa Bischoping cũng nhấn mạnh rằng các cuộc tấn công lợi dụng sự tin tưởng vào các dịch vụ kinh doanh phổ biến không phải là hiếm. Do đó, người dùng cần luôn cảnh giác cao độ với các email trông có vẻ hợp pháp, ngay cả khi chúng đến từ chính Google. Việc đào tạo nhận thức về an ninh mạng cần phải phát triển song hành với các mối đe dọa. Và quan trọng nhất, xác thực đa yếu tố mạnh mẽ là điều cần thiết vì đánh cắp thông tin đăng nhập vẫn là mục tiêu hấp dẫn của tin tặc.