Trong bối cảnh công nghệ phát triển không ngừng, các chiêu trò lừa đảo trực tuyến cũng ngày càng trở nên tinh vi hơn, đặc biệt là những email giả mạo các dịch vụ lớn như Google. Không phải tất cả các email bảo mật mà bạn nhận được đều là hợp pháp. Một chiến dịch lừa đảo Gmail mới đang lan truyền, và nó trông giống hệt như một thông báo chính thức từ Google, khiến nhiều người dùng dễ dàng sập bẫy. Việc hiểu rõ cách thức hoạt động của chúng và các dấu hiệu nhận biết là vô cùng cần thiết để bảo vệ an toàn cho tài khoản và thông tin cá nhân của bạn.
Chiêu Trò Phishing Mới Giả Dạng Email Bảo Mật Của Google
Chiến dịch lừa đảo này được nhà phát triển Nick Johnson đưa ra ánh sáng, sau khi anh nhận được một email phishing cực kỳ phức tạp, trông như thể nó được gửi trực tiếp từ Google. Trong một bài đăng trên X, Johnson giải thích rằng email này được gửi từ địa chỉ [email protected] và thậm chí còn vượt qua được kiểm tra chữ ký DKIM của Google, đồng nghĩa với việc nó thực sự được ký bởi accounts.google.com, một địa chỉ hợp lệ của Google.
Kịch bản lừa đảo qua email và trang giả mạo
Vì email được ký bởi một trang web hợp pháp của Google, Gmail đã không đưa ra bất kỳ cảnh báo nào. Nội dung email tuyên bố rằng Google LLC đã nhận được trát đòi hỏi công ty phải cung cấp một bản sao nội dung tài khoản Google của người nhận. Điều này tạo áp lực và tâm lý lo lắng, khiến nạn nhân dễ dàng làm theo hướng dẫn.
Email lừa đảo này chứa một liên kết dẫn đến một trang hỗ trợ giả mạo được lưu trữ trên sites.google.com. Trang giả mạo này hiển thị trạng thái của một báo cáo điều tra pháp lý với tài liệu đính kèm và hai nút: “tải lên tài liệu bổ sung” hoặc “xem chi tiết vụ việc”. Khi nhấp vào bất kỳ nút nào trong số này, người dùng sẽ được chuyển đến một trang đăng nhập giả mạo khác, cũng được lưu trữ trên sites.google.com. Mặc dù Johnson không tiếp tục thao tác sau bước này, nhưng có thể suy đoán rằng trang đăng nhập giả mạo này được thiết kế để thu thập thông tin đăng nhập tài khoản Google của bạn, trước khi chuyển hướng bạn đến một trang Google thật để tránh bị phát hiện.
Điểm mấu chốt để nhận diện lừa đảo
Mặc dù trang đăng nhập giả mạo là một bản sao chính xác của trang Google thật, nhưng bạn vẫn có thể dễ dàng phân biệt chúng nếu kiểm tra kỹ URL của trang. Các trang đăng nhập hợp pháp của Google luôn được lưu trữ trên accounts.google.com, chứ không phải sites.google.com.
Ngoài ra, có hai manh mối lớn khác trong email phishing mà bạn cần lưu ý:
- Kiểm tra email header: Phần tiêu đề email (email header) cho thấy rằng dù email được ký bởi accounts.google.com, nó lại có nguồn gốc từ một địa chỉ privateemail.com và được gửi đến một địa chỉ trông rất lạ như “[email protected].” Đây là một dấu hiệu rõ ràng cho thấy sự bất thường.
- Dấu hiệu lạ trong phần cuối email: Manh mối thứ hai nằm ở cuối email, nơi có nhiều khoảng trắng bất thường, sau đó là dòng chữ “Google Legal Support đã được cấp quyền truy cập vào Tài khoản Google của bạn,” kèm theo địa chỉ email lạ đã đề cập ở trên. Những chi tiết nhỏ nhưng bất thường này chính là chìa khóa để nhận diện email lừa đảo.
Google Sites: “Sân Chơi” Mới Cho Kẻ Lừa Đảo?
Vì email lừa đảo này dường như có nguồn gốc từ một trang web hợp pháp của Google, người dùng Gmail thông thường sẽ không ngần ngại làm theo hướng dẫn trong email. Hơn nữa, do các trang giả mạo được lưu trữ trên sites.google.com, mọi người sẽ thấy tên miền google.com hợp lệ và tin rằng trang đó là thật.
Giao diện hộp thư Gmail trên màn hình laptop, minh họa email lừa đảo Google tinh vi.
Google Sites là một dịch vụ hợp pháp của Google cho phép người dùng nhanh chóng tạo trang web của riêng mình và lưu trữ trên tên miền của Google. Mặc dù đây là một công cụ tiện lợi, nó lại cho phép người dùng chạy các tập lệnh và nhúng bên ngoài tùy chọn, tạo ra một lỗ hổng bảo mật lớn.
Việc sử dụng dịch vụ này cũng khiến việc xây dựng các trang phishing trở nên cực kỳ dễ dàng. Ngay cả khi một trang bị đội ngũ chống lạm dụng của Google gỡ bỏ, những kẻ lừa đảo có thể nhanh chóng tạo một trang khác chỉ trong thời gian ngắn. Tuy nhiên, email mới là vấn đề bảo mật lớn hơn đối với Google. Johnson đã gửi một báo cáo lỗi cho Google về email này, nhưng công ty đã đóng vấn đề, tuyên bố rằng tính năng này đang hoạt động đúng như mong đợi và họ không coi đó là một vấn đề bảo mật. Điều này có nghĩa là chúng ta có thể thấy các chiến dịch tương tự xuất hiện trong tương lai.
Làm Thế Nào Để Tự Bảo Vệ Khỏi Phishing Email Tinh Vi?
Trong khi Google vẫn đang xem xét vấn đề này một cách thấu đáo, bạn cần phải hết sức cảnh giác với những email như vậy. Việc tự trang bị kiến thức và các biện pháp phòng vệ sẽ giúp bạn an toàn hơn trên không gian mạng.
Dưới đây là một số mẹo quan trọng để tự bảo vệ tài khoản Google và Gmail của bạn:
- Luôn kiểm tra kỹ URL: Trước khi nhấp vào bất kỳ liên kết nào, hãy di chuột qua liên kết đó (trên máy tính) hoặc nhấn giữ (trên điện thoại) để xem URL đầy đủ. Đảm bảo rằng nó dẫn đến tên miền chính xác của Google (ví dụ:
accounts.google.com,mail.google.com), không phải các tên miền con lạ nhưsites.google.comcho trang đăng nhập. - Kiểm tra địa chỉ email người gửi và tiêu đề email: Luôn kiểm tra địa chỉ email người gửi và phân tích kỹ phần tiêu đề email (email header) để tìm kiếm bất kỳ địa chỉ email lạ hoặc các đoạn văn bản không thường thấy trong email chính thức.
- Cảnh giác với các yêu cầu thông tin nhạy cảm: Google sẽ không bao giờ yêu cầu bạn cung cấp mật khẩu hoặc thông tin nhạy cảm qua email. Bất kỳ email nào yêu cầu bạn đăng nhập để “xác minh tài khoản” hoặc “cập nhật thông tin” đều cần được xem xét cẩn thận.
- Sử dụng xác thực hai yếu tố (2FA): Bật xác thực hai yếu tố cho tài khoản Google của bạn. Điều này sẽ thêm một lớp bảo mật, yêu cầu mã xác minh từ điện thoại của bạn ngay cả khi kẻ tấn công có được mật khẩu của bạn.
- Không nhấp vào liên kết đáng ngờ: Nếu bạn nghi ngờ một email là lừa đảo, đừng nhấp vào bất kỳ liên kết nào trong đó. Thay vào đó, hãy truy cập trực tiếp vào trang web của Google bằng cách gõ địa chỉ vào trình duyệt của bạn.
Tóm tắt:
Phishing email giả mạo Google ngày càng trở nên khó phân biệt. Điều quan trọng nhất là luôn duy trì sự cảnh giác, không bao giờ tin tưởng tuyệt đối vào bất kỳ email nào yêu cầu thông tin cá nhân hoặc đưa ra các yêu cầu khẩn cấp. Hãy dành thời gian kiểm tra kỹ lưỡng các dấu hiệu nhận biết đã nêu trên. Bảo vệ tài khoản cá nhân chính là trách nhiệm của mỗi người dùng.
Hãy chia sẻ kinh nghiệm của bạn khi đối phó với các email lừa đảo tương tự và tìm hiểu thêm các bài viết về chủ đề bảo mật tài khoản cá nhân trên meocongnghe.com!
