Chiến dịch lừa đảo Facebook mới lợi dụng lỗ hổng Google AppSheet
Lừa đảo Facebook qua Google AppSheet

Theo The Hacker News, một chiến dịch tấn công tinh vi nhắm vào các tài khoản Facebook có giá trị cao đã được phát hiện, lợi dụng lỗ hổng từ nền tảng Google AppSheet. Thông thường, email lừa đảo bị hệ thống lọc thư rác chặn nhờ các giao thức SPF, DKIM và DMARC. Tuy nhiên, các nhà nghiên cứu bảo mật từ ESET cho biết tin tặc đã tìm ra cách vượt mặt bằng cách sử dụng Google AppSheet – công cụ tạo ứng dụng không cần viết mã. Kẻ tấn công phát tán email lừa đảo từ địa chỉ chính thống noreply@appsheet.com, giúp chúng dễ dàng qua mặt mọi bộ lọc an ninh.

Chi tiết chiến dịch lừa đảo

Email giả mạo có giao diện và địa chỉ gửi rất khó nhận biết. Nếu người dùng Facebook nhấp vào và điền thông tin, tài khoản sẽ bị chiếm đoạt. Chiến dịch này không nhắm đến người dùng phổ thông mà tập trung vào các tài khoản doanh nghiệp, Fanpage thương hiệu và tài khoản quảng cáo. Nội dung email thường tạo sự hoảng loạn với các tiêu đề như cảnh báo vi phạm bản quyền, dọa khóa trang vĩnh viễn trong 24 giờ hoặc yêu cầu xác minh danh tính khẩn cấp.

Cách thức hoạt động

Khi nạn nhân nhấp vào đường link, họ bị dẫn đến trang web giả mạo được thiết kế tinh vi. Tại đây, mã độc thu thập mật khẩu, mã xác thực hai yếu tố (2FA), ngày sinh và cả hình ảnh căn cước công dân. ESET đã liên kết chiến dịch này với một tổ chức tội phạm mạng có liên quan đến Việt Nam, đã chiếm đoạt khoảng 30.000 tài khoản. Sau khi chiếm quyền, chúng dùng tài khoản để chạy quảng cáo bẩn, rao bán trên chợ đen hoặc giả danh chuyên gia công nghệ để lừa tiền khôi phục tài khoản. Quy trình này được tự động hóa qua các bot Telegram.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Biện pháp phòng tránh

Người dùng cần ghi nhớ rằng Facebook không bao giờ gửi cảnh báo vi phạm qua email từ Google AppSheet. Mọi thông báo chính thống đều hiển thị trong Facebook Business Manager hoặc hộp thư hỗ trợ. Cảnh giác với các yêu cầu xác minh danh tính hỗn hợp: nếu một trang web yêu cầu nhập mật khẩu, mã 2FA và tải lên giấy tờ tùy thân cùng lúc, đó là bẫy lừa đảo. Khi nhận email cảnh báo, hãy bỏ qua đường link và tự mở ứng dụng hoặc website chính thức để kiểm tra trạng thái tài khoản.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình