VTC News dẫn thông tin cho hay, Công ty an ninh mạng Guardio cho biết toàn bộ dữ liệu thu được từ chiến dịch này hiện đang được rao bán trên các chợ đen do chính nhóm tin tặc kiểm soát.
Theo chuyên gia bảo mật Shaked Chen, đây không phải là một công cụ lừa đảo đơn lẻ mà là một hệ thống vận hành có tổ chức, hoạt động theo thời gian thực với khả năng vượt qua nhiều lớp bảo mật và liên tục được nâng cấp. Ông mô tả đây là một “chu trình tội phạm khép kín”, trong đó các tài khoản sau khi bị chiếm đoạt sẽ nhanh chóng bị khai thác để kiếm lợi.
Mục tiêu chính của chiến dịch là các chủ tài khoản Facebook Business, với chiêu trò bắt đầu từ những email giả mạo bộ phận hỗ trợ của Meta. Nội dung các email này thường tạo áp lực và cảnh báo tài khoản của người dùng có thể bị xóa vĩnh viễn nếu không kịp thời gửi đơn kháng nghị.
Điểm đáng chú ý là các email lừa đảo được gửi từ địa chỉ chính thức của Google AppSheet, giúp chúng dễ dàng vượt qua các bộ lọc thư rác và tạo cảm giác đáng tin cậy. Từ đó, người dùng bị dụ dỗ truy cập vào các trang web giả mạo được thiết kế tinh vi để thu thập thông tin đăng nhập.
Ảnh minh họa
Dân trí dẫn thông tin từ tổ chức KnowBe4, một chiến dịch tương tự từng xuất hiện vào tháng 5/2025, nhưng các hoạt động gần đây cho thấy mức độ tinh vi đã tăng lên đáng kể. Guardio cho biết, trong những tuần gần đây, nhóm tin tặc đã triển khai bốn kịch bản chính nhằm lợi dụng tâm lý lo sợ của người dùng.
Kịch bản thứ nhất là các trang hỗ trợ giả mạo lưu trữ trên Netlify, nhằm thu thập các thông tin như tài khoản đăng nhập, ngày sinh, số điện thoại và ảnh giấy tờ tùy thân, sau đó gửi trực tiếp về các kênh Telegram do tin tặc kiểm soát.
Kịch bản thứ hai là chiêu trò “cấp tích xanh”, dẫn người dùng đến các trang “Kiểm tra bảo mật” hoặc “Trung tâm bảo mật Meta” giả mạo trên nền tảng Vercel. Tại đây, nạn nhân bị yêu cầu thực hiện các bước xác minh giả và vô tình cung cấp cả mật khẩu lẫn mã xác thực hai yếu tố.
Ngoài ra, tin tặc còn phát tán các tệp PDF giả mạo hướng dẫn xác minh tài khoản, được lưu trên Google Drive, nhằm đánh lừa người dùng cung cấp thông tin nhạy cảm như mật khẩu, mã xác thực và giấy tờ tùy thân. Những tài liệu này thậm chí có thể âm thầm chụp lại màn hình trình duyệt của nạn nhân thông qua công cụ html2canvas.
Kịch bản cuối cùng là giả danh tuyển dụng, khi tin tặc mạo danh nhân sự cấp cao từ các tập đoàn lớn như WhatsApp, Meta, Apple, Adobe hoặc Coca-Cola để tạo lòng tin, sau đó dụ nạn nhân truy cập vào các liên kết độc hại hoặc tham gia các cuộc gọi tiềm ẩn rủi ro bảo mật.
Dữ liệu từ các kênh Telegram của nhóm tin tặc cho thấy khoảng 30.000 nạn nhân đã bị lừa và mất quyền truy cập tài khoản. Chiến dịch hiện đang lan rộng trên toàn cầu, với các nạn nhân tập trung ở nhiều quốc gia như Mỹ, Ý, Canada, Philippines, Ấn Độ, Tây Ban Nha, Úc, Anh, Brazil và Mexico.
Đánh giá chung, Shaked Chen cho rằng các dấu hiệu cho thấy đây là một chiến dịch tấn công có tổ chức và quy mô lớn. Điều này phản ánh sự tồn tại của một thị trường ngầm sinh lợi, nơi quyền truy cập Facebook, danh tính doanh nghiệp, độ uy tín của tài khoản quảng cáo, thậm chí cả dịch vụ khôi phục tài khoản đều bị mua bán.
Đồng thời, chiến dịch cũng cho thấy một xu hướng đáng lo ngại khi tin tặc ngày càng tận dụng các nền tảng công nghệ uy tín làm vỏ bọc để lưu trữ, phát tán nội dung lừa đảo và tối đa hóa lợi nhuận.
