Chiêu trò bắt đầu bằng những email giả mạo “Thông báo giọng nói mới”, nhìn qua giống như đến từ dịch vụ thư thoại hợp pháp.
Email này có nút “Nghe thư thoại”, khi bấm vào sẽ dẫn nạn nhân qua nhiều trang web trung gian, trong đó có một trang CAPTCHA giả để tạo cảm giác an toàn, trước khi chuyển hướng đến bản sao hoàn chỉnh của trang đăng nhập Gmail.
Email lừa đảo sử dụng thông báo "thư thoại mới" dẫn dụ người dùng đăng nhập. Ảnh: SCS
Tại đây, người dùng bị dụ nhập email, mật khẩu và cả các lớp bảo mật bổ sung như mã xác thực hai bước, mã dự phòng, câu hỏi bảo mật. Tất cả dữ liệu sẽ ngay lập tức bị gửi về máy chủ do kẻ tấn công kiểm soát.
Điểm đặc biệt khiến chiến dịch này nguy hiểm là kẻ tấn công đã sử dụng nền tảng Microsoft Dynamics (mkt.dynamics.com) một dịch vụ tiếp thị chính thống để lưu trữ giai đoạn đầu tiên.
Cách này khiến email khó bị đánh dấu là đáng ngờ.Mã độc tạo trang đăng nhập giả còn dùng mã hóa AES để che giấu, có tính năng chống gỡ lỗi, đồng thời chuyển hướng qua nhiều máy chủ ở Nga và Pakistan nhằm làm khó quá trình điều tra.
Các chuyên gia cảnh báo rằng đây là một bước tiến lớn trong kỹ thuật lừa đảo, khi vừa kết hợp xã hội học (tạo sự tin tưởng bằng CAPTCHA, giao diện Google) vừa lợi dụng hạ tầng hợp pháp để né tránh kiểm duyệt.
Mật khẩu Gmail dễ dàng bị đánh cắp bằng các hình thức dẫn dụ.
Ở một diễn biến khác, PCWorld cho biết người dùng các dịch vụ của Google, như Gmail và Google Cloud, đang phải đối mặt với sự gia tăng đáng kể các nỗ lực lừa đảo.
Một bài đăng trên Reddit chỉ ra rằng, người dùng Gmail hiện bị nhắm mục tiêu bởi các cuộc tấn công lừa đảo qua tin nhắn từ các số điện thoại có mã vùng 650.
Những kẻ lừa đảo tự xưng là nhân viên Google, liên hệ với nạn nhân để cảnh báo về một lỗ hổng bảo mật ảnh hưởng đến tài khoản của họ. Trong các cuộc gọi này, kẻ tấn công cố gắng chiếm đoạt tài khoản Gmail của nạn nhân bằng cách yêu cầu họ đặt lại mật khẩu và cung cấp thông tin này.
Ngoài ra, một kỹ thuật lừa đảo khác được gọi là "dangling bucket" đã được báo cáo, trong đó tin tặc thử nghiệm các địa chỉ truy cập lỗi thời để cài đặt phần mềm độc hại vào tài khoản Google Cloud hoặc đánh cắp dữ liệu.
Với 2,5 tỉ người dùng Gmail và Google Cloud, cả doanh nghiệp lẫn cá nhân đều cần nâng cao cảnh giác trước sự gia tăng các nỗ lực lừa đảo và tấn công trực tuyến.
Người dùng cần làm gì?
- - Luôn cảnh giác với các email thông báo thư thoại lạ.
- - Chỉ đăng nhập Gmail qua trang chính thức của Google.
- - Nếu nghi ngờ đã nhập thông tin trên trang giả mạo, hãy lập tức đổi mật khẩu, kiểm tra hoạt động đăng nhập gần đây và bật lại các lớp bảo mật.
- - Các tổ chức nên bổ sung giải pháp lọc email nâng cao và đào tạo nhân viên về các hình thức lừa đảo mới.
Các nhóm bảo mật cũng được khuyến nghị chặn các tên miền liên quan đến chiến dịch này, đặc biệt là horkyrown[.]com, vốn được xác định là một phần hạ tầng tấn công.
