Email từ Facebook vẫn có thể là bẫy: Cách hacker chiếm quyền tài khoản chỉ trong vài phút

[MinhSec]

Một chiến dịch lừa đảo trực tuyến mới đang lan rộng trên toàn cầu, nhắm trực tiếp vào các doanh nghiệp bằng cách khai thác chính một công cụ quen thuộc và đáng tin cậy: nền tảng Meta Business Manager.

Điểm nguy hiểm của chiêu trò này nằm ở chỗ, các email lừa đảo không còn đến từ những địa chỉ giả mạo dễ nhận biết, mà được gửi trực tiếp từ hệ thống chính thức của Meta, khiến ngay cả người có kinh nghiệm cũng khó phân biệt thật giả.

Chiêu lừa tinh vi ẩn trong thông báo “chính chủ”​

Kịch bản tấn công bắt đầu bằng việc tin tặc tạo ra các trang Facebook Business giả mạo, được thiết kế giống hệt những thương hiệu uy tín hoặc đối tác đã xác minh. Những trang này sử dụng logo, tên gọi và giao diện chuyên nghiệp để tạo lòng tin.

Sau đó, kẻ tấn công tận dụng tính năng “yêu cầu hợp tác” có sẵn trên Meta Business Manager để gửi lời mời đến nạn nhân. Vì đây là chức năng hợp pháp, hệ thống sẽ tự động gửi email từ domain chính thức như facebookmail.com.

Chính yếu tố này khiến các email lừa đảo vượt qua hầu hết các lớp kiểm tra bảo mật như SPF hay DKIM, đồng thời tạo cảm giác hoàn toàn đáng tin cậy đối với người nhận.

Theo các chuyên gia từ Trustwave SpiderLabs, chiến dịch này đặc biệt nguy hiểm vì nó “vũ khí hóa” một tính năng vốn được doanh nghiệp sử dụng hằng ngày.

Quy mô của cuộc tấn công cũng không hề nhỏ. Hơn 40.000 email đã được gửi tới hơn 5.000 tổ chức tại Mỹ, châu Âu, Canada và Úc. Những ngành phụ thuộc nhiều vào quảng cáo như bất động sản, giáo dục, ô tô, khách sạn và tài chính bị ảnh hưởng nặng nề nhất.

Đánh cắp tài khoản chỉ trong vài bước​

Khi người dùng nhấp vào liên kết trong email, họ sẽ bị chuyển hướng đến một trang đăng nhập giả mạo, có giao diện gần như giống hệt trang chính thức của Meta.

Tại đây, nạn nhân được yêu cầu nhập thông tin đăng nhập, email doanh nghiệp và thậm chí cả mã xác thực hai yếu tố. Điều đáng lo ngại là dữ liệu này bị thu thập theo thời gian thực, cho phép tin tặc chiếm quyền tài khoản ngay lập tức.

Ngay cả lớp bảo mật như xác thực hai yếu tố (2FA) cũng có thể bị vượt qua nếu người dùng vô tình nhập mã vào trang giả.

Hậu quả không chỉ dừng lại ở việc mất tài khoản. Kẻ tấn công có thể:

• Chạy quảng cáo gian lận, đốt sạch ngân sách
• Mạo danh doanh nghiệp để lừa khách hàng
• Chiếm quyền kiểm soát tài khoản và đòi tiền chuộc

Với các doanh nghiệp nhỏ, rủi ro càng lớn vì nhân viên thường xuyên nhận email từ Meta nên dễ mất cảnh giác.

Làm gì để tránh “sập bẫy”?​

Các chuyên gia khuyến cáo, đừng bao giờ nhấp vào link trong email, kể cả khi email đó trông hoàn toàn hợp lệ. Thay vào đó, hãy truy cập trực tiếp nền tảng bằng cách tự nhập địa chỉ trên trình duyệt.

Ngoài ra, doanh nghiệp nên:

• Luôn bật xác thực đa yếu tố, nhưng không nhập mã qua link lạ
• Đào tạo nhân viên nhận diện email bất thường
• Kiểm tra định kỳ quyền truy cập trong tài khoản Meta Business Manager
• Xóa ngay các đối tác hoặc tài khoản không rõ nguồn gốc

Trong bối cảnh các chiêu lừa ngày càng tinh vi, yếu tố con người vẫn là “mắt xích” dễ bị khai thác nhất. Chỉ một cú nhấp chuột bất cẩn cũng có thể khiến doanh nghiệp trả giá đắt.(cybersecuritynews)

Hackers Abuse Legitimate Meta Business Manager Notifications to Deliver Phishing Emails

Phishing abuses Meta Business Manager to send legit-looking emails from real servers, tricking businesses into granting access.

cybersecuritynews.com

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview