Nguyễn Xuân Chính
Pearl
Số vụ chiếm đoạt tài khoản Facebook tại Việt Nam đang có xu hướng gia tăng đáng kể, đồng hành cùng các chiến dịch lừa đảo và phát tán phần mềm độc hại nhắm mục tiêu vào cả người dùng cá nhân lẫn doanh nghiệp. Theo thông báo từ Meta (công ty chủ quản của Facebook), các chiến dịch tinh vi như DuckTail và NodeStealer liên tục tìm cách đánh cắp cookie phiên và thông tin đăng nhập, đặc biệt tập trung vào các tài khoản Quản lý Trang (Page) hoặc Trình quản lý doanh nghiệp (Business Manager) có thông tin thanh toán quảng cáo. Các nhóm tội phạm mạng thường phát tán tệp đính kèm độc hại, tiện ích trình duyệt giả mạo hoặc lừa người dùng cấp quyền truy cập thông qua các ứng dụng bên thứ ba.
Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) khuyến nghị ưu tiên các hình thức MFA chống lừa đảo (như Passkeys hoặc khóa bảo mật vật lý). Nếu buộc phải dùng ứng dụng tạo mã hay thông báo đẩy (push notification), người dùng nên bật tính năng number matching; SMS chỉ nên là phương án xác thực cuối cùng.
Lưu ý: Bài viết này nhằm mục đích cảnh báo và hướng dẫn các biện pháp phòng vệ cho độc giả. Chúng tôi không mô tả chi tiết kỹ thuật để ngăn chặn việc tái hiện hành vi tấn công. Khi nghi ngờ tài khoản bị xâm nhập, độc giả cần lập tức đổi mật khẩu, thu hồi các phiên lạ, bật xác thực nhiều lớp, đồng thời báo cáo ngay cho Facebook và liên hệ nhà mạng để chặn nguy cơ SIM swap.
Các phương thức tấn công phổ biến
Các chuyên gia an ninh mạng đã chỉ ra năm "cửa" tấn công chủ yếu mà kẻ xấu đang lợi dụng:- Lừa đảo trực tuyến (Phishing) và Lừa cấp quyền (Consent Phishing):Kẻ tấn công giả mạo email hoặc tin nhắn cảnh báo "vi phạm bản quyền," "mất huy hiệu xác minh," hoặc "tài khoản bị khóa" để lừa người dùng đăng nhập trên các trang web giả mạo hoặc nhấp vào "ủy quyền" cho ứng dụng độc hại. Khuyến nghị: Người dùng tuyệt đối không bấm vào các đường dẫn lạ, không tải tệp đính kèm khả nghi và báo cáo về địa chỉ [email protected] hoặc qua Trung tâm Trợ giúp (Help Center) của Facebook.
- Chiếm đoạt Cookie Phiên (Session Hijacking):Nhiều chiến dịch malware nhắm vào các trình duyệt web để "hút" cookie phiên của Facebook. Thông qua các cookie này, kẻ tấn công có thể đăng nhập vào tài khoản mà không cần mật khẩu. Meta từng công bố các đợt triệt phá chiến dịch nhắm thẳng vào quản trị viên Trang/Ads, kèm theo hướng dẫn gỡ bỏ phần mềm độc hại.
- Tấn công Thử mật khẩu (Credential Stuffing) và Rò rỉ dữ liệu:Việc sử dụng lại mật khẩu giữa nhiều dịch vụ khác nhau là rủi ro lớn. Kẻ tấn công sẽ tận dụng danh sách email/mật khẩu bị rò rỉ từ các dịch vụ khác để tự động thử đăng nhập vào Facebook. Giải pháp: Sử dụng mật khẩu duy nhất và đủ dài, đồng thời bật xác thực nhiều lớp (MFA).
- Hoán đổi SIM (SIM Swapping) và Mã OTP qua SMS:Khi chiếm được quyền kiểm soát số điện thoại, kẻ xấu có thể chặn mọi mã OTP (mật khẩu dùng một lần) gửi qua SMS để thực hiện việc đặt lại mật khẩu. Cả Ủy ban Thương mại Liên bang Mỹ (FTC) và Cục Điều tra Liên bang Mỹ (FBI) đều liên tục cảnh báo về thủ đoạn này, khuyến nghị tránh dùng SMS làm yếu tố xác thực thứ hai nếu có lựa chọn an toàn hơn.
- Lỗi cấu hình Tích hợp Đăng nhập bằng Facebook (OAuth):Nếu một dịch vụ bên thứ ba tích hợp OAuth một cách cẩu thả, token có thể bị rò rỉ hoặc bị lừa cấp quyền quá mức. Hậu quả là kẻ xấu có thể đọc dữ liệu cá nhân, chiếm đoạt Trang hoặc sử dụng tài khoản để chạy quảng cáo trái phép. Khuyến nghị: Chỉ cấp quyền tối thiểu và thường xuyên rà soát các ứng dụng đã liên kết.
Xu hướng mới: Passkeys giúp tăng cường bảo mật
Từ tháng 6 năm 2025, Facebook đã bắt đầu hỗ trợ công nghệ Passkeys trên thiết bị di động. Công nghệ này cho phép người dùng đăng nhập bằng vân tay, nhận diện khuôn mặt hoặc mã PIN của thiết bị. Khóa bí mật sẽ được lưu trữ cục bộ trên thiết bị thay vì yêu cầu gõ mật khẩu, qua đó giảm đáng kể nguy cơ nhập nhầm vào các trang web lừa đảo. Meta gần đây cũng cập nhật rằng ứng dụng Messenger đã bắt đầu triển khai đăng nhập bằng Passkeys.Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) khuyến nghị ưu tiên các hình thức MFA chống lừa đảo (như Passkeys hoặc khóa bảo mật vật lý). Nếu buộc phải dùng ứng dụng tạo mã hay thông báo đẩy (push notification), người dùng nên bật tính năng number matching; SMS chỉ nên là phương án xác thực cuối cùng.
Dấu hiệu tài khoản bị xâm nhập và 9 bước tự vệ khẩn cấp
Dấu hiệu nhận biết tài khoản bị xâm nhập:
- Xuất hiện phiên đăng nhập lạ trong mục "Nơi bạn đã đăng nhập" (Where you’re logged in).
- Nhận được email đổi mật khẩu/đổi số điện thoại mà bản thân không thực hiện.
- Trang/Business Manager phát sinh quảng cáo hoặc phân quyền quản trị bất thường.
9 bước tự vệ ngay thức thì:
- Bật Passkeys (nếu khả dụng) hoặc sử dụng khóa bảo mật vật lý/ứng dụng tạo mã; hạn chế tối đa sử dụng SMS OTP.
- Đặt mật khẩu duy nhất, đủ dài cho Facebook và không dùng lại từ bất kỳ dịch vụ nào khác.
- Rà soát phiên đăng nhập và đăng xuất khỏi các thiết bị lạ; bật cảnh báo đăng nhập cho các phiên mới.
- Vào Cài đặt bảo mật để gỡ bỏ các ứng dụng/tiện ích đã liên kết không còn cần thiết.
- Cảnh giác tối đa với email/tin nhắn mạo danh Meta/Facebook; không bấm đường dẫn, không tải tệp; báo cáo về địa chỉ [email protected].
- Quét malware trên máy tính/điện thoại; xóa các tiện ích trình duyệt không rõ nguồn gốc.
- Đặt mã PIN khóa SIM và liên hệ nhà mạng để kích hoạt khóa chuyển SIM (SIM swap lock).
- Bật kiểm tra bảo mật định kỳ tại Trung tâm Bảo mật (Security Center) của Facebook.
- Đối với tài khoản doanh nghiệp/Trang: hạn chế quyền admin, bật duyệt hai lớp cho thành viên và sử dụng trình quản lý thiết bị sạch.
Lưu ý: Bài viết này nhằm mục đích cảnh báo và hướng dẫn các biện pháp phòng vệ cho độc giả. Chúng tôi không mô tả chi tiết kỹ thuật để ngăn chặn việc tái hiện hành vi tấn công. Khi nghi ngờ tài khoản bị xâm nhập, độc giả cần lập tức đổi mật khẩu, thu hồi các phiên lạ, bật xác thực nhiều lớp, đồng thời báo cáo ngay cho Facebook và liên hệ nhà mạng để chặn nguy cơ SIM swap.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
