Thủ đoạn lừa đảo mới: Gửi email lừa đảo để hack Facebook người dùng

Thủ đoạn tinh vi, khó phát hiện

Theo lực lượng chức năng, tội phạm mạng đã lợi dụng Google AppSheet – một dịch vụ hợp pháp cho phép người dùng tạo ứng dụng mà không cần lập trình – để gửi email lừa đảo hàng loạt.
Vì được gửi từ địa chỉ "@appsheet.com" của Google, những email này dễ dàng vượt qua các lớp bảo vệ như xác thực SPF, DKIM hay DMARC của các nhà cung cấp dịch vụ email như Microsoft, Google và cả các hệ thống bảo mật thư điện tử doanh nghiệp.

Mỗi email còn được gán một ID duy nhất, gây khó khăn cho các bộ lọc thư rác truyền thống. Nội dung thư giả mạo thông báo từ Facebook, đe dọa tài khoản người nhận sẽ bị xóa vĩnh viễn trong 24 giờ vì vi phạm quyền sở hữu trí tuệ. Kẻ lừa đảo dụ người dùng bấm vào nút “Submit an Appeal” (Gửi kháng nghị) để “giải trình” và “tránh mất tài khoản”.

Trang giả mạo tinh vi, khai thác cả mã 2FA

Khi bấm vào, nạn nhân bị điều hướng đến trang đăng nhập Facebook giả mạo, được lưu trữ trên nền tảng Vercel – một dịch vụ uy tín chuyên cung cấp hạ tầng cho các website và ứng dụng hiện đại. Giao diện trang lừa đảo được làm giống hệt trang Facebook chính thức, khiến người dùng dễ mất cảnh giác.

Đặc biệt, thủ đoạn còn tinh vi ở chỗ: khi nạn nhân nhập thông tin đăng nhập, hệ thống cố tình báo “sai mật khẩu” để họ nhập lại lần nữa, nhằm khẳng định tính chính xác của dữ liệu. Sau đó, nếu nạn nhân nhập cả mã xác thực hai yếu tố (2FA), tội phạm sẽ ngay lập tức dùng mã này để đánh cắp session token – tức quyền truy cập tài khoản – và chiếm quyền kiểm soát Facebook của nạn nhân, kể cả khi họ đổi mật khẩu.

Khuyến cáo cho người dùng

Công an Long An khuyến cáo người dân tuyệt đối không tin các email yêu cầu đăng nhập Facebook gấp, dọa khóa tài khoản, dù nhìn rất đáng tin. Người dùng nên:

• Kiểm tra kỹ địa chỉ email người gửi, đường dẫn liên kết.

• Không bấm vào các link lạ, nhất là các nút “kháng nghị”, “xác minh” trong email.

• Kích hoạt các biện pháp bảo mật chính chủ từ Facebook, như cảnh báo đăng nhập mới, xác minh 2 lớp.

• Khi nghi ngờ, hãy truy cập trực tiếp Facebook.com hoặc ứng dụng chính thức để kiểm tra, không đăng nhập qua link trong email.

Nếu phát hiện email lừa đảo hoặc bị mất quyền kiểm soát tài khoản, người dùng cần nhanh chóng liên hệ cơ quan công an hoặc phản ánh qua Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) để được hỗ trợ kịp thời.

Nguồn: Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Công an tỉnh Long An.