- an ninh mạng
- lừa đảo Facebook
- giả mạo email
Cảnh báo chiêu hack Facebook cực tinh vi qua email giả mạo
Tội phạm mạng dùng Google AppSheet và Vercel để giả mạo email từ Facebook, đánh cắp tài khoản người dùng kèm mã 2FA.
Chiêu trò hack Facebook mới tinh vi, khó phát hiện
Thời gian gần đây, giới chuyên gia an ninh mạng liên tục cảnh báo về một chiêu lừa đảo mới nhắm vào người dùng Facebook, với kỹ thuật giả mạo cực kỳ tinh vi khiến nhiều người dễ dàng “sập bẫy” chỉ trong vài cú click.
Điểm đặc biệt khiến chiêu lừa này khó bị phát hiện là việc tội phạm mạng lợi dụng Google AppSheet – một công cụ hợp pháp của Google – để gửi email giả mạo Facebook từ địa chỉ @appsheet.com. Vì là dịch vụ chính chủ từ Google, các email này dễ dàng vượt qua hầu hết các công cụ kiểm tra tên miền và xác thực uy tín như SPF, DKIM hay DMARC.
Email giả mạo Facebook: Thủ đoạn tinh vi
Nội dung email được thiết kế giống hệt thông báo chính thức từ Facebook. Tiêu đề thường là: “Cảnh báo vi phạm bản quyền – tài khoản sẽ bị vô hiệu trong 24h”. Email đính kèm một nút “Submit an Appeal” (Gửi kháng nghị) và yêu cầu người dùng truy cập để giữ tài khoản.
Nhiều người vì lo sợ mất Facebook đã nhanh chóng nhấp vào đường dẫn mà không kiểm tra kỹ. Đây chính là lúc hacker dẫn người dùng đến một trang web giả mạo giao diện đăng nhập Facebook, được lưu trữ trên nền tảng Vercel – một nhà cung cấp hạ tầng website uy tín, khiến người dùng càng dễ tin tưởng.
Chiếm quyền truy cập chỉ trong vài bước
Ngay khi người dùng nhập email, mật khẩu và mã xác thực hai bước (2FA), toàn bộ thông tin này lập tức được chuyển đến kẻ tấn công. Chưa hết, trang web giả mạo còn cố tình thông báo “mật khẩu không đúng” trong lần nhập đầu tiên để dụ người dùng nhập lại – qua đó xác nhận thông tin và tăng tỷ lệ thành công.
Đặc biệt, khi đã có mã 2FA, hacker không chỉ đăng nhập vào Facebook mà còn chiếm quyền sử dụng mã phiên đăng nhập (session token). Với mã này, kể cả khi nạn nhân đổi mật khẩu, hacker vẫn có thể tiếp tục duy trì quyền truy cập như chưa từng bị đuổi ra.
Lý do chiêu lừa này dễ qua mặt các hệ thống bảo mật
- Email gửi từ @appsheet.com – một tên miền hợp pháp của Google, nên không bị đánh dấu spam.
- Trang giả mạo được lưu trữ trên nền tảng Vercel, có SSL và tốc độ tải nhanh như các website chính thống.
- Mỗi email có một ID riêng biệt, gây khó khăn cho các hệ thống phát hiện theo mẫu (pattern detection).
Cách phòng tránh chiêu lừa này
Để bảo vệ tài khoản Facebook và dữ liệu cá nhân, người dùng cần ghi nhớ một số nguyên tắc sau:
- Tuyệt đối không nhấp vào liên kết từ email lạ, kể cả khi chúng có vẻ như đến từ Facebook hay các nền tảng uy tín.
- Luôn kiểm tra kỹ tên miền trước khi đăng nhập – trang chính thức của Facebook phải là facebook.com.
- Không cung cấp mã 2FA cho bất kỳ bên nào, đặc biệt khi bị yêu cầu qua đường dẫn ngoài.
- Bật cảnh báo đăng nhập lạ trong phần Bảo mật tài khoản Facebook.
- Sử dụng trình quản lý mật khẩu và xác minh 2 bước thông qua ứng dụng xác thực như Google Authenticator, tránh dùng SMS.
Làm gì nếu nghi ngờ bị chiếm quyền Facebook?
- Truy cập ngay https://www.facebook.com/hacked để báo cáo tài khoản bị tấn công.
- Đổi mật khẩu và đăng xuất khỏi tất cả thiết bị.
- Kiểm tra lại email, số điện thoại và quyền truy cập ứng dụng của bên thứ ba.
- Liên hệ Trung tâm hỗ trợ Facebook hoặc nhờ bạn bè hỗ trợ khôi phục quyền truy cập nếu bị khóa.
Chiêu trò giả mạo ngày càng tinh vi, nhưng chỉ cần người dùng cảnh giác và nắm rõ các dấu hiệu nhận biết, nguy cơ bị hack tài khoản sẽ giảm đáng kể. Đừng để sự bất cẩn khiến bạn mất kiểm soát toàn bộ dữ liệu cá nhân, fanpage, hoặc các tài khoản liên kết.
Chia sẻ bài viết này đến bạn bè, người thân để cùng cảnh giác trước những chiêu thức lừa đảo mới trên mạng.