Một chiến dịch lừa đảo mạng vừa được phát hiện đã khiến cộng đồng an ninh mạng rúng động. Không chỉ vì thủ đoạn tinh vi của tin tặc, mà còn vì nó cho thấy mức độ dễ bị tổn thương đáng báo động của người dùng trong một thế giới nơi các dịch vụ công nghệ hợp pháp có thể bị lợi dụng làm công cụ phát tán tội ác.
Trong vụ việc mới nhất, kẻ tấn công không sử dụng các tên miền lạ hay máy chủ ẩn danh mà tận dụng Google AppSheet, một công cụ được thiết kế để giúp người dùng tạo ứng dụng mà không cần lập trình. Từ đây, email lừa đảo được gửi đi từ địa chỉ hợp pháp của Google – @appsheet.com – dễ dàng vượt qua các hệ thống xác thực email như SPF, DKIM, DMARC.
Đáng nói hơn, mỗi email đều mang mã định danh duy nhất, khiến các thuật toán phát hiện tấn công truyền thống gần như bị vô hiệu hóa. Bước tiếp theo, nạn nhân bị dẫn dụ đến một trang đăng nhập Facebook giả mạo, được lưu trữ trên Vercel, một nền tảng được các lập trình viên tin tưởng để triển khai ứng dụng web.
Sự tin cậy của Google và Vercel – vốn là hai cái tên đại diện cho hiệu quả và bảo mật – đã bị chính kẻ tấn công biến thành vỏ bọc.
Điều làm nên sự nguy hiểm của chiến dịch này không nằm ở công nghệ cao, mà ở sự am hiểu tâm lý con người. Tin tặc gửi email giả danh Facebook, với nội dung đe dọa tài khoản sẽ bị xóa vì “vi phạm bản quyền”. Cùng với đó là nút “Gửi đơn kháng nghị” – đánh trúng tâm lý sợ mất tài khoản và thôi thúc hành động tức thì.
Khi người dùng nhập tên đăng nhập, mật khẩu và mã xác thực hai yếu tố, chúng ngay lập tức bị chuyển đến tay tin tặc, cho phép đăng nhập và chiếm quyền kiểm soát tài khoản. Đặc biệt, việc đánh cắp cả “mã phiên” (session token) giúp tin tặc duy trì quyền truy cập, kể cả khi nạn nhân đổi mật khẩu sau đó.
Lâu nay, các vụ tấn công mạng thường được gán nguyên nhân là do người dùng “thiếu kiến thức”, “click bừa” hay “thiếu cẩn trọng”. Nhưng vụ việc này cho thấy: ngay cả người cẩn thận cũng có thể bị lừa, khi những email giả mạo không còn đến từ nguồn rác rưởi, mà từ chính các tên miền được bảo vệ bởi Big Tech.
Điều này đặt ra một câu hỏi lớn: Liệu các nền tảng công nghệ có đủ trách nhiệm trong việc ngăn chặn việc bị lợi dụng?
Google AppSheet và Vercel không vi phạm gì, nhưng việc thiếu lớp giám sát và cảnh báo sớm khiến chúng dễ bị khai thác. Trong cuộc chơi giữa tin tặc và người dùng, có vẻ như người dùng đang bị bỏ lại ở tuyến đầu – không có đủ công cụ để tự bảo vệ.
Các chuyên gia khuyến cáo người dùng nên cảnh giác với bất kỳ email nào yêu cầu hành động khẩn cấp, kiểm tra kỹ địa chỉ gửi và không đăng nhập thông tin nếu chưa xác minh trang web. Nhưng thực tế cho thấy: cảnh giác đơn thuần không còn đủ, khi thủ đoạn lừa đảo đang ngày càng “tự nhiên như thật”.
Đã đến lúc các nhà cung cấp dịch vụ – từ email đến nền tảng lưu trữ – phải chủ động tham gia vào trận chiến an ninh mạng, thay vì chỉ đóng vai trò trung gian.