Việc sở hữu “tích xanh” trên Facebook từ lâu được xem là dấu hiệu xác thực uy tín, đặc biệt với người kinh doanh và các fanpage có lượng theo dõi lớn.
Nhu cầu này đang bị các đối tượng xấu lợi dụng, khi tung ra những lời mời cấp tích xanh miễn phí nhằm đánh vào tâm lý muốn được xác minh nhanh chóng. Đằng sau đó là một chiến dịch lừa đảo quy mô lớn, hướng đến việc chiếm quyền tài khoản và khai thác dữ liệu người dùng.
Theo báo cáo từ Guard.io, chiến dịch mang tên AccountDumpling đã tấn công khoảng 30.000 tài khoản, trong đó nhiều nạn nhân là quản trị viên fanpage và người vận hành trang. Đây là nhóm người dùng có giá trị cao đối với tội phạm mạng do nắm quyền kiểm soát nội dung và quảng cáo.
Nhiều kịch bản lừa đảo tinh vi
Shaked Chen, nhà nghiên cứu bảo mật tại Guard.io, cho biết các email lừa đảo được thiết kế với nhiều kịch bản khác nhau nhằm tạo cảm giác cấp bách hoặc hấp dẫn. Nội dung thường xoay quanh:
- Cảnh báo tài khoản sắp bị vô hiệu hóa
- Thông báo vi phạm bản quyền
- Lời mời nhận tích xanh miễn phí không cần đăng ký dịch vụ chính thức
Các email này đều dẫn người dùng đến trang web giả mạo, yêu cầu nhập thông tin đăng nhập, mật khẩu và mã xác thực hai yếu tố. Khi người dùng làm theo, kẻ gian có thể chiếm quyền tài khoản ngay lập tức.
Một điểm đáng chú ý là nhóm tấn công đã tận dụng Google AppSheet để phát tán email trên diện rộng. Việc sử dụng hạ tầng của Google khiến email trở nên đáng tin hơn, dù nội dung bên trong là giả mạo.
Ngoài ra, các kỹ thuật che giấu cũng được triển khai tinh vi:
- Chèn ký tự Unicode ẩn trong tên người gửi
- Dùng ký tự Cyrillic có hình dạng giống chữ Latin
- Phân tách nội dung để né hệ thống quét bảo mật
Những thủ thuật này giúp email khó bị phát hiện là lừa đảo bằng các công cụ thông thường.
Với tội phạm mạng, các tài khoản có quyền quản trị fanpage là mục tiêu giá trị cao do gắn liền với hoạt động kinh doanh và quảng cáo. Khi chiếm được quyền truy cập, kẻ gian có thể kiểm soát trang để phát tán nội dung lừa đảo, khai thác tài khoản quảng cáo hoặc mua bán quyền quản trị. Chính vì vậy, các email giả mạo thường đánh vào nỗi lo bị khóa tài khoản hoặc mất trang, khiến người dùng dễ phản ứng vội vàng mà không kiểm tra lại nguồn thông tin.
Người dùng Facebook cần lưu ý gì?
Người dùng cần lưu ý rằng Meta không yêu cầu cung cấp mật khẩu hoặc mã xác thực hai yếu tố thông qua email hay biểu mẫu bên ngoài. Với các thông báo liên quan đến tài khoản hoặc fanpage, nên kiểm tra trực tiếp trên nền tảng chính thức như Facebook hoặc Meta Business Suite.
Trong trường hợp đã nhập thông tin vào trang nghi ngờ, cần thực hiện ngay các bước:
- Đổi mật khẩu tài khoản
- Đăng xuất khỏi các thiết bị lạ
- Kiểm tra lại quyền quản trị fanpage
- Rà soát phương thức thanh toán liên kết với tài khoản quảng cáo
Chiến dịch AccountDumpling cho thấy các hình thức lừa đảo đang ngày càng tinh vi khi kết hợp công nghệ để tạo độ tin cậy. Việc cảnh giác với các lời mời “miễn phí” và kiểm tra nguồn thông tin trước khi thao tác là yếu tố then chốt để bảo vệ tài khoản.
Tham khảo Forbes
Huỳnh Duy
