Email giả mạo “Thông báo giọng nói mới”
Các chuyên gia bảo mật vừa phát hiện một hình thức tấn công tinh vi, bắt đầu từ những email giả mạo có tiêu đề “Thông báo giọng nói mới”.
Email chứa nút “Nghe thư thoại”, khi bấm vào, người dùng bị dẫn qua nhiều trang web trung gian, trong đó có một CAPTCHA giả nhằm tạo cảm giác an toàn, trước khi chuyển hướng đến bản sao hoàn chỉnh của trang đăng nhập Gmail.
Tại đây, nạn nhân bị dụ nhập email, mật khẩu cùng các lớp bảo mật bổ sung như mã xác thực hai bước hay câu hỏi an ninh. Toàn bộ thông tin lập tức bị gửi về máy chủ do kẻ tấn công kiểm soát.
Điểm đặc biệt khiến chiến dịch này nguy hiểm là tin tặc đã lợi dụng nền tảng Microsoft Dynamics (mkt.dynamics.com) một dịch vụ hợp phápSa để triển khai giai đoạn đầu, giúp email khó bị đánh dấu là đáng ngờ.
Mã độc được che giấu tinh vi
Mã độc tạo trang đăng nhập giả sử dụng mã hóa AES, có khả năng chống gỡ lỗi, đồng thời liên tục chuyển hướng qua nhiều máy chủ tại Nga và Pakistan để làm khó quá trình điều tra.
Theo các chuyên gia, đây là một bước tiến trong kỹ thuật tấn công mạng, khi kết hợp tâm lý học xã hội (CAPTCHA, giao diện Google) với việc tận dụng hạ tầng chính thống để né tránh kiểm duyệt.
Không chỉ dừng lại ở email, người dùng Gmail còn bị nhắm mục tiêu qua các cuộc gọi và tin nhắn giả mạo từ số điện thoại mã vùng 650.
Kẻ tấn công tự xưng là nhân viên Google, cảnh báo về một “lỗ hổng bảo mật” và dụ nạn nhân đặt lại mật khẩu, qua đó chiếm đoạt tài khoản.
Ngoài ra, kỹ thuật “dangling bucket” cũng đã được ghi nhận, trong đó tin tặc lợi dụng các địa chỉ truy cập lỗi thời để cài mã độc hoặc đánh cắp dữ liệu từ Google Cloud.
Người dùng cần làm gì?
Để bảo vệ tài khoản, chuyên gia đưa ra các khuyến nghị:
- Luôn cảnh giác với email lạ, đặc biệt là thông báo thư thoại.
- Chỉ đăng nhập Gmail qua trang chính thức của Google.
- Nếu nghi ngờ đã nhập thông tin vào trang giả mạo, cần đổi mật khẩu ngay lập tức, kiểm tra lịch sử đăng nhập và bật lại các lớp bảo mật.
- Các tổ chức nên triển khai lọc email nâng cao và huấn luyện nhân viên về nhận diện chiêu thức mới.
- Các nhóm bảo mật được khuyến nghị chặn các tên miền liên quan đến chiến dịch này, trong đó có horkyrown[.]com.
