404 Not Found
Writer
Google Forms vốn là công cụ khảo sát phổ biến nhờ dễ dùng và miễn phí. Tuy nhiên, hiện nay nó đang bị tin tặc lợi dụng để phát động một chiến dịch lừa đảo tiền điện tử quy mô lớn. Kẻ xấu đánh vào chính uy tín của nền tảng Google để qua mặt hệ thống bảo mật và thao túng lòng tin của người dùng.
Chiến dịch này được ghi nhận từ cuối năm 2024, nhưng chỉ thực sự bùng phát mạnh trong quý II năm 2025. Nạn nhân thường nhận được một email bất ngờ, trong đó có đường link Google Forms trông hoàn toàn hợp pháp. Khi nhấn vào, họ được đưa tới một biểu mẫu giả mạo giao diện của các sàn giao dịch tiền mã hóa nổi tiếng như Binance hoặc Coinbase, với nội dung hấp dẫn như “Bạn có 1.275 BTC đang chờ rút”.
Nếu nhẹ dạ làm theo hướng dẫn, người dùng sẽ bị yêu cầu nhập email, địa chỉ ví và đôi khi cả mã bảo mật của ví (seed phrase). Sau đó, họ bị điều hướng sang một trang web giả dạng cổng rút tiền, nơi tiếp tục yêu cầu thanh toán một khoản "phí nhỏ" (small network fee). Khi giao dịch hoàn tất, cả thông tin ví và số tiền gửi đi sẽ bị tin tặc chiếm đoạt. Dấu vết gần như bị xóa sạch vì tiền được đưa vào các ví ẩn danh hoặc chuyển qua dịch vụ mixer.
Điều đáng lo ngại là các email lừa đảo này được gửi đi từ chính hạ tầng của Google. Chúng sử dụng domain google.com và vượt qua toàn bộ các bộ lọc thư rác nhờ có đầy đủ chứng thực bảo mật. Cộng thêm việc liên kết dẫn đến forms.gle, một tên miền quen thuộc, khiến người dùng chủ quan và dễ mắc bẫy. Theo thống kê của Kaspersky, chỉ riêng trong tháng 7/2025, số cuộc tấn công phishing sử dụng Google Forms đã tăng tới 63% so với mức trung bình các tháng trước đó.
Chiến dịch này không sử dụng phần mềm độc hại hay khai thác kỹ thuật phức tạp. Tin tặc chủ yếu dựa vào thủ đoạn giả mạo và thao túng tâm lý. Chúng tận dụng các công cụ chính thức trong hệ sinh thái Google để thu thập dữ liệu. Khi người dùng bấm nút “Gửi”, toàn bộ thông tin sẽ được chuyển ngầm về máy chủ do kẻ tấn công kiểm soát, được ẩn danh phía sau hạ tầng Cloudflare Workers. Một số biểu mẫu còn tích hợp chức năng tự động chuyển hướng sang một trang rút tiền giả. Giao diện tại đây được thiết kế chuyên nghiệp, trông giống như trang chính thức nhằm tạo cảm giác tin tưởng.
Toàn bộ quá trình diễn ra mượt mà, không gây ra bất kỳ dấu hiệu đáng ngờ nào trên trình duyệt hoặc thiết bị của nạn nhân. Chính điều này khiến chiến dịch trở thành một trong những đợt lừa đảo bằng kỹ thuật xã hội hiệu quả nhất từ đầu năm đến nay.
Các chuyên gia cảnh báo người dùng không nên chia sẻ thông tin ví, seed phrase hoặc khóa cá nhân qua bất kỳ biểu mẫu trực tuyến nào, dù trông có vẻ hợp lệ. Các tổ chức cũng cần tăng cường kiểm soát email đầu vào, đồng thời phổ biến kiến thức an ninh cơ bản để nhân viên không bị dụ dỗ bởi những lời hứa như "nhận thưởng tiền mã hóa".
Chiến dịch lần này là minh chứng rõ ràng cho thấy công cụ hợp pháp có thể bị lợi dụng sai mục đích. Trong khi công nghệ ngày càng phát triển, yếu tố con người vẫn là mục tiêu dễ bị tấn công nhất. Sự hiểu biết và cảnh giác chính là lớp bảo vệ đầu tiên trước mọi mối đe dọa trên không gian số.
Nếu nhẹ dạ làm theo hướng dẫn, người dùng sẽ bị yêu cầu nhập email, địa chỉ ví và đôi khi cả mã bảo mật của ví (seed phrase). Sau đó, họ bị điều hướng sang một trang web giả dạng cổng rút tiền, nơi tiếp tục yêu cầu thanh toán một khoản "phí nhỏ" (small network fee). Khi giao dịch hoàn tất, cả thông tin ví và số tiền gửi đi sẽ bị tin tặc chiếm đoạt. Dấu vết gần như bị xóa sạch vì tiền được đưa vào các ví ẩn danh hoặc chuyển qua dịch vụ mixer.
Điều đáng lo ngại là các email lừa đảo này được gửi đi từ chính hạ tầng của Google. Chúng sử dụng domain google.com và vượt qua toàn bộ các bộ lọc thư rác nhờ có đầy đủ chứng thực bảo mật. Cộng thêm việc liên kết dẫn đến forms.gle, một tên miền quen thuộc, khiến người dùng chủ quan và dễ mắc bẫy. Theo thống kê của Kaspersky, chỉ riêng trong tháng 7/2025, số cuộc tấn công phishing sử dụng Google Forms đã tăng tới 63% so với mức trung bình các tháng trước đó.
Chiến dịch này không sử dụng phần mềm độc hại hay khai thác kỹ thuật phức tạp. Tin tặc chủ yếu dựa vào thủ đoạn giả mạo và thao túng tâm lý. Chúng tận dụng các công cụ chính thức trong hệ sinh thái Google để thu thập dữ liệu. Khi người dùng bấm nút “Gửi”, toàn bộ thông tin sẽ được chuyển ngầm về máy chủ do kẻ tấn công kiểm soát, được ẩn danh phía sau hạ tầng Cloudflare Workers. Một số biểu mẫu còn tích hợp chức năng tự động chuyển hướng sang một trang rút tiền giả. Giao diện tại đây được thiết kế chuyên nghiệp, trông giống như trang chính thức nhằm tạo cảm giác tin tưởng.
Toàn bộ quá trình diễn ra mượt mà, không gây ra bất kỳ dấu hiệu đáng ngờ nào trên trình duyệt hoặc thiết bị của nạn nhân. Chính điều này khiến chiến dịch trở thành một trong những đợt lừa đảo bằng kỹ thuật xã hội hiệu quả nhất từ đầu năm đến nay.
Các chuyên gia cảnh báo người dùng không nên chia sẻ thông tin ví, seed phrase hoặc khóa cá nhân qua bất kỳ biểu mẫu trực tuyến nào, dù trông có vẻ hợp lệ. Các tổ chức cũng cần tăng cường kiểm soát email đầu vào, đồng thời phổ biến kiến thức an ninh cơ bản để nhân viên không bị dụ dỗ bởi những lời hứa như "nhận thưởng tiền mã hóa".
Chiến dịch lần này là minh chứng rõ ràng cho thấy công cụ hợp pháp có thể bị lợi dụng sai mục đích. Trong khi công nghệ ngày càng phát triển, yếu tố con người vẫn là mục tiêu dễ bị tấn công nhất. Sự hiểu biết và cảnh giác chính là lớp bảo vệ đầu tiên trước mọi mối đe dọa trên không gian số.
Theo WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
