MinhSec
Writer
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch lừa đảo trực tuyến tinh vi mới, trong đó tin tặc giả mạo bộ phận hỗ trợ và các thông báo chính thức của Google nhằm đánh cắp thông tin đăng nhập của người dùng. Điểm nguy hiểm của chiến dịch này nằm ở việc kết hợp nhiều kỹ thuật lừa đảo khác nhau, từ gọi điện trực tiếp đến việc lạm dụng chính cơ sở hạ tầng đáng tin cậy của Google.
Cuộc tấn công nhắm tới các tổ chức trên toàn cầu, tận dụng tâm lý tin tưởng vào thương hiệu lớn để vượt qua các lớp phòng vệ truyền thống của hệ thống bảo mật email.
Sau cuộc gọi, nạn nhân nhận được email tiếp theo với các liên kết dẫn dụ, trông giống như được gửi từ hệ thống hợp pháp của Google. Do các email này xuất phát từ hạ tầng thật, chúng có thể vượt qua các cơ chế xác thực phổ biến như SPF, DKIM hay DMARC, khiến nhiều hệ thống lọc thư không phát hiện được dấu hiệu bất thường.
Theo ghi nhận của các nhà nghiên cứu, chỉ riêng trong tháng 12 năm 2025 đã có hơn 9.000 email lừa đảo được gửi tới khoảng 3.200 doanh nghiệp tại nhiều khu vực như Bắc Mỹ, châu Âu, châu Á – Thái Bình Dương và Mỹ Latinh.
Các trang này hiển thị CAPTCHA giả mạo nhằm ngăn chặn quá trình quét tự động của công cụ bảo mật, nhưng vẫn cho phép người dùng truy cập bình thường. Sau khi vượt qua bước xác minh, nạn nhân bị đưa tới các trang giả mạo màn hình đăng nhập Google hoặc Microsoft 365, nơi thông tin tên đăng nhập và mật khẩu bị thu thập.
Các chuyên gia cảnh báo rằng các nhà cung cấp dịch vụ đám mây không bao giờ chủ động liên hệ qua điện thoại hay email để yêu cầu người dùng cung cấp thông tin đăng nhập. Người dùng được khuyến nghị chỉ truy cập trực tiếp vào các cổng dịch vụ chính thức quen thuộc, thay vì nhấp vào các liên kết không được yêu cầu.
Đối với doanh nghiệp, việc triển khai xác thực đa yếu tố, sử dụng trình quản lý mật khẩu, giới hạn vị trí đăng nhập và đào tạo nâng cao nhận thức an ninh mạng cho nhân viên được xem là biện pháp cần thiết. Đồng thời, chiến dịch này cho thấy các tổ chức cần vượt ra ngoài các biện pháp dựa trên uy tín tên miền, chuyển sang phân tích hành vi và phát hiện mối đe dọa theo ngữ cảnh để đối phó với xu hướng tin tặc ngày càng lợi dụng nền tảng hợp pháp cho mục đích tấn công.(cybersecuritynews)
cybersecuritynews.com
Cuộc tấn công nhắm tới các tổ chức trên toàn cầu, tận dụng tâm lý tin tưởng vào thương hiệu lớn để vượt qua các lớp phòng vệ truyền thống của hệ thống bảo mật email.
Kết hợp vishing và email hợp pháp để tạo lòng tin
Chiến dịch sử dụng phương thức kỹ thuật xã hội nhiều lớp. Tin tặc chủ động gọi điện cho nạn nhân, sử dụng công nghệ giả mạo giọng nói để đóng vai nhân viên hỗ trợ của Google. Nội dung cuộc gọi thường đề cập đến các hoạt động tài khoản bất thường hoặc rủi ro bảo mật nghiêm trọng, tạo cảm giác khẩn cấp và khiến nạn nhân mất cảnh giác.Sau cuộc gọi, nạn nhân nhận được email tiếp theo với các liên kết dẫn dụ, trông giống như được gửi từ hệ thống hợp pháp của Google. Do các email này xuất phát từ hạ tầng thật, chúng có thể vượt qua các cơ chế xác thực phổ biến như SPF, DKIM hay DMARC, khiến nhiều hệ thống lọc thư không phát hiện được dấu hiệu bất thường.
Theo ghi nhận của các nhà nghiên cứu, chỉ riêng trong tháng 12 năm 2025 đã có hơn 9.000 email lừa đảo được gửi tới khoảng 3.200 doanh nghiệp tại nhiều khu vực như Bắc Mỹ, châu Âu, châu Á – Thái Bình Dương và Mỹ Latinh.
Lợi dụng Google Cloud để đánh cắp thông tin đăng nhập
Thay vì sử dụng các tên miền giả mạo dễ bị phát hiện, tin tặc đã lạm dụng các dịch vụ Google Cloud để lưu trữ trang trung gian và gửi email lừa đảo trực tiếp từ cơ sở hạ tầng hợp pháp. Khi người dùng nhấp vào liên kết, họ bị chuyển hướng qua các trang được lưu trữ trên Google Cloud Storage, khiến các hệ thống đánh giá uy tín URL gần như mất tác dụng.Các trang này hiển thị CAPTCHA giả mạo nhằm ngăn chặn quá trình quét tự động của công cụ bảo mật, nhưng vẫn cho phép người dùng truy cập bình thường. Sau khi vượt qua bước xác minh, nạn nhân bị đưa tới các trang giả mạo màn hình đăng nhập Google hoặc Microsoft 365, nơi thông tin tên đăng nhập và mật khẩu bị thu thập.
Các chuyên gia cảnh báo rằng các nhà cung cấp dịch vụ đám mây không bao giờ chủ động liên hệ qua điện thoại hay email để yêu cầu người dùng cung cấp thông tin đăng nhập. Người dùng được khuyến nghị chỉ truy cập trực tiếp vào các cổng dịch vụ chính thức quen thuộc, thay vì nhấp vào các liên kết không được yêu cầu.
Đối với doanh nghiệp, việc triển khai xác thực đa yếu tố, sử dụng trình quản lý mật khẩu, giới hạn vị trí đăng nhập và đào tạo nâng cao nhận thức an ninh mạng cho nhân viên được xem là biện pháp cần thiết. Đồng thời, chiến dịch này cho thấy các tổ chức cần vượt ra ngoài các biện pháp dựa trên uy tín tên miền, chuyển sang phân tích hành vi và phát hiện mối đe dọa theo ngữ cảnh để đối phó với xu hướng tin tặc ngày càng lợi dụng nền tảng hợp pháp cho mục đích tấn công.(cybersecuritynews)
New Sophisticated Phishing Attack Mimic as Google Support to Steal Logins
A new phishing campaign is impersonating Google support and notifications to trick users into handing over their login credentials.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview