Cảnh báo chiến dịch "AccountDumpling": Hơn 30.000 tài khoản Facebook sập bẫy lừa đảo qua Google AppSheet

4 ngày trước
4 phút đọc

Một chiến dịch tấn công mạng quy mô lớn nhắm vào người dùng Facebook vừa bị phát hiện với phương thức vô cùng tinh vi. Bằng cách tận dụng các dịch vụ uy tín của Google, nhóm tin tặc đã vượt qua các lớp bảo mật để chiếm đoạt hàng chục nghìn tài khoản, gây thiệt hại nghiêm trọng cho người dùng trong và ngoài nước.

Thủ đoạn "mượn danh" tinh vi để vượt rào bảo mật

Chiến dịch này được các chuyên gia bảo mật tại Guardio đặt mật danh là AccountDumpling. Điểm khác biệt nguy hiểm của nó nằm ở việc sử dụng Google AppSheet như một "trung chuyển lừa đảo".

Thay vì gửi thư từ các địa chỉ lạ dễ bị đánh dấu là thư rác (spam), kẻ tấn công đã lợi dụng hệ thống của Google để gửi email từ địa chỉ chính thức noreply@appsheet.com. Điều này giúp các thư lừa đảo dễ dàng đi xuyên qua các bộ lọc an ninh và xuất hiện ngay trong hộp thư đến của nạn nhân với vẻ ngoài cực kỳ uy tín.

*AppSheet gửi mồi nhử phishing để chiếm quyền tài khoản Facebook*

Đánh vào tâm lý lo sợ của người dùng

Mục tiêu chính của chiến dịch này là những người sở hữu tài khoản Facebook Business (tài khoản dành cho kinh doanh). Kẻ xấu thường giả danh đội ngũ hỗ trợ của Meta để gửi đi các thông báo khẩn cấp, buộc người dùng phải thực hiện theo yêu cầu nếu không muốn tài khoản bị xóa vĩnh viễn.

Để tạo thêm sự tin tưởng và dẫn dụ nạn nhân, nhóm này đã đa dạng hóa các loại "mồi nhử" đánh vào tâm lý như:

Cảnh báo vi phạm bản quyền hoặc vô hiệu hóa tài khoản.
Yêu cầu xác minh danh tính hoặc đánh giá "tích xanh".
Lời mời tuyển dụng hấp dẫn từ các tập đoàn lớn như Apple, Meta, hay Coca-Cola.

*Chiến dịch đánh vào tâm lý của những người sở hữu tài khoản Facebook Business*

4 kịch bản tấn công phổ biến trong chiến dịch

Theo phân tích, chiến dịch AccountDumpling triển khai qua 4 hình thức chính để thu thập dữ liệu:

Trang hỗ trợ giả mạo: Nạn nhân được dẫn đến các trang web hỗ trợ Facebook giả được lưu trữ trên nền tảng Netlify. Tại đây, chúng yêu cầu người dùng cung cấp ngày sinh, số điện thoại và cả ảnh giấy tờ tùy thân.
Xác minh danh tính ảo: Sử dụng các trang "Trung tâm quyền riêng tư" giả mạo có kèm mã CAPTCHA (mã xác nhận người máy) để tăng độ tin cậy. Mục đích là lấy tên đăng nhập, mật khẩu và cả mã xác thực hai yếu tố (2FA).
Tệp PDF chứa mã độc: Kẻ tấn công gửi các hướng dẫn xác minh dưới dạng file PDF lưu trữ trên Google Drive. Những tệp này thực chất được thiết kế để âm thầm chụp lại màn hình trình duyệt và lấy cắp thông tin cá nhân.
Lời mời làm việc giả: Thông qua các vị trí tuyển dụng cấp cao, kẻ xấu xây dựng lòng tin với nạn nhân rồi dẫn dụ họ trao đổi qua các trang web độc hại do chúng kiểm soát.

Toàn bộ dữ liệu đánh cắp được, từ thông tin đăng nhập đến ảnh giấy tờ cá nhân, đều được tự động chuyển về các kênh Telegram do nhóm tin tặc quản lý.

Đường dây mua bán tài khoản và dấu vết từ Việt Nam

Các nghiên cứu cho thấy đây không phải là một vụ tấn công đơn lẻ mà là một hệ thống tội phạm có tổ chức. Sau khi chiếm đoạt thành công khoảng 30.000 tài khoản từ nhiều quốc gia (như Mỹ, Canada, Anh, Brazil...), nhóm này sẽ rao bán chúng trên các thị trường đen để thu lợi bất chính.

Đáng chú ý, các chuyên gia đã tìm thấy bằng chứng quan trọng liên quan đến nguồn gốc của chiến dịch. Thông qua dữ liệu ẩn (metadata) trong các tệp PDF lừa đảo, cái tên "PHẠM TÀI TÂN" đã xuất hiện. Các cuộc điều tra sâu hơn dẫn tới một trang web cung cấp dịch vụ marketing tại Việt Nam, nơi tự nhận chuyên tư vấn các chiến lược kỹ thuật số.

Chiến dịch AccountDumpling là minh chứng cho thấy tội phạm mạng đang ngày càng trở nên bài bản khi biết tận dụng các nền tảng đáng tin cậy như Google để thực hiện hành vi xấu. Người dùng cần hết sức cảnh giác trước các email yêu cầu cung cấp mật khẩu hoặc giấy tờ cá nhân, ngay cả khi chúng có vẻ được gửi từ các địa chỉ uy tín. Việc bảo vệ tài sản số không chỉ dừng lại ở công cụ, mà còn nằm ở sự tỉnh táo trước những áp lực tâm lý mà kẻ tấn công tạo ra.