Hiểm họa đánh cắp tài khoản facebook từ mồi nhử 'tích xanh'

2 giờ trướcBài gốc

Khoảng 30 nghìn tài khoản facebook đã trở thành nạn nhân của một chiến dịch lừa đảo quy mô lớn mang tên AccountDumpling. Theo phân tích an ninh mạng mới đây từ Guard.io, nhóm tội phạm mạng này đã sử dụng mồi nhử cực kỳ tinh vi là những lời mời nhận tích xanh facebook hoàn toàn miễn phí để đưa các cá nhân nắm quyền quản trị fanpage vào tròng.

Tích xanh facebook là mồi nhử khó cưỡng với nhiều nạn nhân.

Bằng những thủ đoạn đánh trúng tâm lý kết hợp cùng việc khai thác hạ tầng công nghệ hợp pháp, tin tặc đang từng bước chiếm đoạt quyền kiểm soát các tài sản kỹ thuật số mang lại lợi ích tài chính khổng lồ.

Vỏ bọc hoàn hảo từ hạ tầng công nghệ và thao túng tâm lý

Nhà nghiên cứu bảo mật Shaked Chen đại diện cho Guard.io cho biết: Các tin tặc đã thiết kế vô số kịch bản email khác nhau để lừa gạt người dùng. Nội dung của những bức thư điện tử này được ngụy trang vô cùng khéo léo dưới dạng các thông báo khẩn cấp như: Cảnh báo tài khoản sắp bị vô hiệu hóa vĩnh viễn, khiếu nại vi phạm bản quyền nội dung; hoặc đặc biệt nhất là lời mời chào cấp phát dấu tích xanh uy tín.

Điểm chung cốt lõi của tất cả các kịch bản này là đều dẫn dụ người dùng truy cập vào những trang web giả mạo được thiết kế y hệt giao diện chính thức của Meta. Tại đây, hệ thống lừa đảo sẽ yêu cầu nạn nhân điền đầy đủ thông tin đăng nhập, mật khẩu và cả mã xác thực hai yếu tố. Ngay khi người dùng thao tác theo hướng dẫn, kẻ gian sẽ lập tức chiếm đoạt quyền truy cập tài khoản để từ đó tiếp tục khai thác sâu hơn vào các trang thương mại, tài khoản quảng cáo cùng toàn bộ dữ liệu giá trị liên quan.

Sự nguy hiểm của chiến dịch AccountDumpling nằm ở cách nhóm tấn công lợi dụng chính hạ tầng của các gã khổng lồ công nghệ để qua mặt người dùng. Báo cáo của Guard.io chỉ ra rằng, tin tặc đã khai thác triệt để nền tảng Google AppSheet, một công cụ vốn được thiết kế để tự động hóa quy trình và gửi thông báo, nhằm mục đích phát tán email lừa đảo trên diện rộng.

Việc các email lừa đảo được gửi đi thông qua máy chủ chính thức của Google khiến chúng trông cực kỳ đáng tin cậy. Cách thức này giúp tin tặc dễ dàng vượt qua các bộ lọc thư rác thông thường, thay vì sử dụng những địa chỉ email lạ hoắc rất dễ bị hệ thống an ninh nhận diện và ngăn chặn. Dù vậy, chuyên gia Shaked Chen nhấn mạnh một quy tắc bảo mật quan trọng rằng một email được hệ thống xác thực đầy đủ hoàn toàn không đồng nghĩa với việc nội dung chứa đựng bên trong nó là an toàn tuyệt đối.

Để tăng tỷ lệ thành công, chiến dịch này được chuẩn bị thật kỹ lưỡng về mặt kỹ thuật. Nhóm tấn công sử dụng các ký tự Unicode ẩn để làm xáo trộn tên người gửi, khiến người dùng và hệ thống rất khó phát hiện ra sự bất thường. Chúng còn cất công chia nhỏ nội dung email ra thành nhiều phần để né tránh các công cụ quét ngữ cảnh tự động. Ở phần chân trang ngụy trang thương hiệu Meta, tin tặc còn sử dụng các ký tự Cyrillic có hình dáng giống hệt chữ cái Latin để đánh lừa thị giác của người đọc.

Chiêu trò mời nhận tích xanh miễn phí tỏ ra đặc biệt hiệu quả, đánh trực tiếp vào khát khao của những cá nhân đang quản lý fanpage hoặc xây dựng thương hiệu cá nhân. Email giả mạo vẽ ra một viễn cảnh hấp dẫn rằng người dùng có thể nhận được biểu tượng xác minh danh giá mà không cần phải đăng ký dịch vụ Meta Verified. Nạn nhân chỉ cần nhấp chuột vào một liên kết đính kèm, thực hiện vài bước xác minh giả tạo là đã vô tình giao nộp toàn bộ tài sản kỹ thuật số của mình cho kẻ gian.

Mục tiêu béo bở và nguyên tắc bảo vệ tài khoản facebook

Trong mắt của tội phạm mạng, những tài khoản cá nhân có gắn liền với quyền quản trị fanpage sở hữu giá trị thương mại cao hơn rất nhiều so với một tài khoản người dùng thông thường. Một khi chiếm đoạt thành công những tài khoản đặc quyền này, kẻ gian có thể ngay lập tức nắm quyền kiểm soát toàn bộ hoạt động của trang.

Từ nền tảng đó, chúng dễ dàng phát tán các nội dung lừa đảo đến lượng lớn người theo dõi, sử dụng thẻ tín dụng đã liên kết để chạy các chiến dịch quảng cáo trái phép hoặc đơn giản là rao bán lại quyền truy cập cho các bên thứ ba để trục lợi. Chính vì giá trị kinh tế lớn lao này, các kịch bản lừa đảo qua email luôn được thiết kế để đánh trực tiếp vào nỗi lo sợ mất trang, bị khóa tài khoản hoặc bị xử phạt vì các lý do vi phạm bản quyền.

Khi phải đối mặt với những thông báo mang tính chất nghiêm trọng và có vẻ khẩn cấp, phần lớn người dùng thường nảy sinh tâm lý hoang mang. Thay vì bình tĩnh kiểm tra lại thông tin trực tiếp trong hệ thống quản lý của Facebook hoặc Meta Business Suite, họ có xu hướng bấm ngay vào liên kết được cung cấp để giải quyết vấn đề nhanh chóng.

Để tự bảo vệ mình trước những thủ đoạn ngày càng tinh vi, người dùng cần khắc cốt ghi tâm một nguyên tắc cơ bản là Meta không bao giờ yêu cầu người dùng cung cấp mật khẩu đăng nhập cá nhân và mã xác thực hai yếu tố thông qua các biểu mẫu xa lạ được gửi bằng thư điện tử. Đối với mọi thông báo liên quan đến trạng thái tài khoản, hoạt động của fanpage hoặc các vấn đề về quảng cáo, phương án xử lý an toàn và chính xác nhất luôn là mở trực tiếp ứng dụng mạng xã hội hoặc tìm kiếm thông tin trong Trung tâm trợ giúp chính thức của nền tảng để đối chiếu.

Trong trường hợp người dùng đã sơ ý nhập thông tin cá nhân vào một trang web có dấu hiệu giả mạo, hành động ứng cứu khẩn cấp là vô cùng cần thiết. Nạn nhân cần ngay lập tức thay đổi mật khẩu sang một chuỗi ký tự hoàn toàn mới và có độ phức tạp cao, tiến hành đăng xuất tài khoản khỏi tất cả các thiết bị không xác định. Việc rà soát thật kỹ lưỡng lại danh sách quyền quản trị trên các fanpage để loại bỏ những người dùng khả nghi, đồng thời kiểm tra chặt chẽ các phương thức thanh toán đang được liên kết với tài khoản quảng cáo sẽ giúp đóng băng thẻ tín dụng nếu phát hiện có giao dịch bất thường.

Bùi Tú

Nguồn Một Thế Giới : https://1thegioi.vn/hiem-hoa-danh-cap-tai-khoan-facebook-tu-moi-nhu-tich-xanh-251093.html