Chiêu trò hack Facebook mới cực tinh vi, cẩn thận!

Theo đó, tội phạm mạng đã sử dụng phần mềm Google Appsheet không cần mã của Google để gửi hàng loạt email lừa đảo. Do được gửi đi từ địa chỉ "@appsheet.com", những email này dễ dàng vượt qua các cơ chế kiểm tra uy tín tên miền và xác thực (như SPF,DKIM,DMARC) của Microsoft cũng như các Secure Email Gateways SEG, khiến chúng xuất hiện như thư hợp pháp trong hộp thư đến của nạn nhân.

Mỗi email còn được tạo 1 ID riêng biệt, gây khó khăn cho các hệ thống phát hiện truyền thống.

Nội dung của các email này giả mạo thông báo từ Facebook, thường viện cơ người dùng vi phạm quyền sở hữu trí tuệ và tài khoản sẽ bị xoá trong vòng 24 giờ. Để tránh bị khoá tài khoản, người dùng được yêu cầu nhấp vào nút "Submit an Appeal" gửi đơn kháng nghị.

Khi nhấp vào, nạn nhân sẽ bị dẫn đến một trang đích giả mạo thiết kế giống hệt trang đăng nhập của Facebook. Điều đáng nói, trang giả mạo này lại được lưu trữ trên Vercel - một nền tảng uy tín càng làm tăng độ tin cậy cho toàn bộ chiến dịch lừa đảo. Tại đây, nếu người dùng nhập thông tin đăng nhập và mã xác thực hai yếu tố @FA, toàn bộ dữ liệu này sẽ đươc gửi thẳng đến cho kẻ tấn công.

Chiêu trò còn tinh vi hơn khi lần đăng nhập đầu tiên trên trang giả mạo thường báo sai mật khẩu để nạn nhân nhập lại, nhằm xác nhận thông tin. Nguy hiểm hơn, mã 2FA sau kh được cung cấp sẽ được tội phạm sử dụng ngay để chiếm đoạt mã token của phiên đăg nhập session token từ Facebook, cho phép chúng duy trì quyền truy cập tài khoản ngay cả khi nạn nhân đã đổi mật khẩu.