Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng quy mô lớn vừa được phát hiện với mục tiêu nhắm vào người dùng Facebook Business trên toàn cầu. Theo các chuyên gia bảo mật, khoảng 30.000 tài khoản Facebook đã bị chiếm đoạt thông qua các email lừa đảo sử dụng nền tảng Google AppSheet như một “máy chủ trung gian” nhằm qua mặt hệ thống chống spam và đánh cắp thông tin đăng nhập của nạn nhân.
Công ty an ninh mạng Guardio đã đặt tên cho chiến dịch này là “AccountDumpling”. Không chỉ đơn thuần là một vụ phishing thông thường, chiến dịch được cho là vận hành như một hệ sinh thái tội phạm mạng hoàn chỉnh với cơ chế thu thập, phân loại và bán lại tài khoản Facebook bị đánh cắp trên thị trường ngầm.
Nội dung email thường giả danh bộ phận hỗ trợ của Meta, cảnh báo người dùng rằng tài khoản Facebook Business của họ đang đối mặt nguy cơ bị khóa vĩnh viễn do vi phạm chính sách, bản quyền hoặc cần xác minh danh tính khẩn cấp. Nạn nhân được yêu cầu gửi “đơn kháng nghị” hoặc xác minh tài khoản ngay lập tức.
Khi nhấp vào đường link trong email, người dùng sẽ bị chuyển hướng tới các trang web giả mạo được thiết kế giống giao diện chính thức của Meta nhằm đánh cắp:
Trong đó có các hình thức phổ biến như:
Đặc biệt, nhiều tệp PDF giả được tạo bằng tài khoản Canva miễn phí và lưu trữ trên Google Drive, hướng dẫn nạn nhân thực hiện “xác minh tài khoản” trước khi dẫn đến các biểu mẫu đánh cắp dữ liệu.
Các nhà nghiên cứu cũng phát hiện một website liên quan cung cấp dịch vụ tiếp thị kỹ thuật số và tư vấn marketing trực tuyến. Điều này cho thấy nhóm đứng sau không hoạt động đơn lẻ mà có thể sở hữu hạ tầng vận hành chuyên nghiệp.
Cảnh Báo Người Dùng
Các chuyên gia an ninh mạng khuyến cáo người dùng cần đặc biệt cẩn trọng với những email tạo cảm giác khẩn cấp liên quan đến Meta hoặc Facebook.
Người dùng không nên:
Chiến dịch “AccountDumpling” tiếp tục cho thấy xu hướng mới của tội phạm mạng: tận dụng các nền tảng cloud hợp pháp và có uy tín để che giấu hoạt động lừa đảo, khiến người dùng rất khó phân biệt thật giả nếu thiếu cảnh giác.
Công ty an ninh mạng Guardio đã đặt tên cho chiến dịch này là “AccountDumpling”. Không chỉ đơn thuần là một vụ phishing thông thường, chiến dịch được cho là vận hành như một hệ sinh thái tội phạm mạng hoàn chỉnh với cơ chế thu thập, phân loại và bán lại tài khoản Facebook bị đánh cắp trên thị trường ngầm.
Lợi dụng nền tảng uy tín để lừa đảo
Theo báo cáo của Guardio, các email lừa đảo được gửi từ địa chỉ hợp pháp của Google AppSheet với tên miền “[email protected]”. Điều này khiến nhiều hệ thống lọc spam khó phát hiện, đồng thời làm tăng độ tin cậy đối với người nhận.Nội dung email thường giả danh bộ phận hỗ trợ của Meta, cảnh báo người dùng rằng tài khoản Facebook Business của họ đang đối mặt nguy cơ bị khóa vĩnh viễn do vi phạm chính sách, bản quyền hoặc cần xác minh danh tính khẩn cấp. Nạn nhân được yêu cầu gửi “đơn kháng nghị” hoặc xác minh tài khoản ngay lập tức.
Khi nhấp vào đường link trong email, người dùng sẽ bị chuyển hướng tới các trang web giả mạo được thiết kế giống giao diện chính thức của Meta nhằm đánh cắp:
- Tài khoản và mật khẩu Facebook
- Mã xác thực hai lớp (2FA)
- Số điện thoại
- Thông tin doanh nghiệp
- Ảnh giấy tờ tùy thân
Nhiều hình thức tấn công tinh vi
Guardio cho biết chiến dịch này sử dụng nhiều lớp lừa đảo khác nhau nhằm tạo cảm giác hoảng loạn và thúc ép người dùng hành động nhanh chóng.Trong đó có các hình thức phổ biến như:
- Cảnh báo khóa tài khoản Facebook
- Khiếu nại vi phạm bản quyền
- Xác minh huy hiệu xanh
- Kiểm tra bảo mật Meta
- Tuyển dụng nhân sự giả mạo từ các công ty lớn
Đặc biệt, nhiều tệp PDF giả được tạo bằng tài khoản Canva miễn phí và lưu trữ trên Google Drive, hướng dẫn nạn nhân thực hiện “xác minh tài khoản” trước khi dẫn đến các biểu mẫu đánh cắp dữ liệu.
Nghi vấn liên quan đến nhóm hoạt động tại Việt Nam
Theo Guardio, nhiều bằng chứng kỹ thuật số cho thấy chiến dịch này có liên quan đến một nhóm hoạt động tại Việt Nam. Trong metadata của các tệp PDF được sử dụng trong chiến dịch xuất hiện tên “PHẠM TÀI TÂN” với vai trò tác giả.Các nhà nghiên cứu cũng phát hiện một website liên quan cung cấp dịch vụ tiếp thị kỹ thuật số và tư vấn marketing trực tuyến. Điều này cho thấy nhóm đứng sau không hoạt động đơn lẻ mà có thể sở hữu hạ tầng vận hành chuyên nghiệp.
Facebook Business trở thành “Mỏ Vàng” Của tội phạm mạng
Tài khoản Facebook Business hiện là mục tiêu hấp dẫn đối với giới tội phạm mạng do có giá trị thương mại cao. Những tài khoản này thường sở hữu:- Lịch sử chạy quảng cáo uy tín
- Thẻ thanh toán liên kết
- Fanpage có lượng theo dõi lớn
- Quyền quản trị Business Manager
Cảnh Báo Người Dùng
Các chuyên gia an ninh mạng khuyến cáo người dùng cần đặc biệt cẩn trọng với những email tạo cảm giác khẩn cấp liên quan đến Meta hoặc Facebook.
Người dùng không nên:
- Đăng nhập Facebook thông qua link trong email
- Cung cấp mã 2FA trên website lạ
- Upload giấy tờ tùy thân ngoài hệ thống chính thức của Meta
Chiến dịch “AccountDumpling” tiếp tục cho thấy xu hướng mới của tội phạm mạng: tận dụng các nền tảng cloud hợp pháp và có uy tín để che giấu hoạt động lừa đảo, khiến người dùng rất khó phân biệt thật giả nếu thiếu cảnh giác.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
