-
09/04/2020
-
108
-
959 bài viết
Cảnh báo: Lừa đảo tuyển dụng núp bóng thương hiệu lớn để đánh cắp tài khoản
Một chiến dịch phishing tinh vi đang nhắm đến người tìm việc thông qua những email tuyển dụng giả mạo, mượn danh các thương hiệu toàn cầu như Red Bull để tạo niềm tin và đánh lừa người nhận. Đây không phải là những email lộ liễu hay viết sai chính tả như các hình thức lừa đảo trước đây mà là những thông điệp được trình bày chuyên nghiệp, xuất hiện từ những địa chỉ gửi tưởng chừng đáng tin cậy.
Trong trường hợp này, email được gửi từ domain post.xero.com, một địa chỉ thực thuộc hệ thống hợp pháp và vượt qua toàn bộ các cơ chế xác minh như SPF, DKIM và DMARC. Nhờ đó, hệ thống lọc thư không đánh dấu là đáng ngờ và nội dung dễ dàng xuất hiện ngay trong hộp thư chính của người dùng.
Email giới thiệu một vị trí “Social Media Manager” làm việc từ xa với mô tả rõ ràng, lời lẽ lịch sự và ngữ cảnh hợp lý. Vị trí công việc thuộc lĩnh vực truyền thông, mạng xã hội, hình thức làm việc linh hoạt, phù hợp với xu hướng tuyển dụng hiện tại, đặc biệt sau đại dịch Covid-19. Chính yếu tố quen thuộc này khiến nội dung email dễ dàng vượt qua sự cảnh giác ban đầu của người đọc.
Khi người dùng nhấp vào liên kết trong thư, họ sẽ được đưa qua một trang reCAPTCHA, rồi chuyển tiếp đến một giao diện mô phỏng Glassdoor. Trang web này được thiết kế gần như không khác gì bản gốc, từ màu sắc đến bố cục, khiến người dùng rất khó phát hiện ra dấu hiệu bất thường. Sau khi nhấn nút “Apply”, người dùng được chuyển đến một trang đăng nhập Facebook. Tại đây, nếu điền thông tin đăng nhập, dữ liệu không được gửi đến Facebook mà bị chuyển thẳng về máy chủ của kẻ tấn công mà người dùng không hề hay biết.
Phía sau các trang giả mạo là một hạ tầng tấn công được triển khai bài bản. Tên miền độc hại được đăng ký gần đây, máy chủ đặt tại AS-63023, một mạng IP từng liên quan nhiều chiến dịch tấn công ngắn hạn. Chứng chỉ HTTPS hợp lệ được cấp qua Let’s Encrypt, loại bỏ hoàn toàn cảnh báo bảo mật thường thấy. Dấu vết TLS fingerprint cho thấy sự trùng khớp với các trang giả mạo khác từng nhắm vào người dùng Meta và MrBeast, cho thấy đây là một bộ kit lừa đảo có sẵn, thuộc mô hình phishing-as-a-service, cho phép bất kỳ ai cũng có thể triển khai mà không cần kỹ năng quá cao.
Để tránh trở thành nạn nhân của các chiến dịch lừa đảo dạng này, người dùng nên lưu ý một số điểm quan trọng:
Khi niềm tin vào thương hiệu bị lợi dụng, việc nhìn thấy một logo quen thuộc trong email không còn đồng nghĩa với sự an toàn. Sự thận trọng vẫn là lớp bảo vệ đầu tiên và hiệu quả nhất trước các hình thức lừa đảo ngày càng tinh vi.
Trong trường hợp này, email được gửi từ domain post.xero.com, một địa chỉ thực thuộc hệ thống hợp pháp và vượt qua toàn bộ các cơ chế xác minh như SPF, DKIM và DMARC. Nhờ đó, hệ thống lọc thư không đánh dấu là đáng ngờ và nội dung dễ dàng xuất hiện ngay trong hộp thư chính của người dùng.
Email giới thiệu một vị trí “Social Media Manager” làm việc từ xa với mô tả rõ ràng, lời lẽ lịch sự và ngữ cảnh hợp lý. Vị trí công việc thuộc lĩnh vực truyền thông, mạng xã hội, hình thức làm việc linh hoạt, phù hợp với xu hướng tuyển dụng hiện tại, đặc biệt sau đại dịch Covid-19. Chính yếu tố quen thuộc này khiến nội dung email dễ dàng vượt qua sự cảnh giác ban đầu của người đọc.
Khi người dùng nhấp vào liên kết trong thư, họ sẽ được đưa qua một trang reCAPTCHA, rồi chuyển tiếp đến một giao diện mô phỏng Glassdoor. Trang web này được thiết kế gần như không khác gì bản gốc, từ màu sắc đến bố cục, khiến người dùng rất khó phát hiện ra dấu hiệu bất thường. Sau khi nhấn nút “Apply”, người dùng được chuyển đến một trang đăng nhập Facebook. Tại đây, nếu điền thông tin đăng nhập, dữ liệu không được gửi đến Facebook mà bị chuyển thẳng về máy chủ của kẻ tấn công mà người dùng không hề hay biết.
Phía sau các trang giả mạo là một hạ tầng tấn công được triển khai bài bản. Tên miền độc hại được đăng ký gần đây, máy chủ đặt tại AS-63023, một mạng IP từng liên quan nhiều chiến dịch tấn công ngắn hạn. Chứng chỉ HTTPS hợp lệ được cấp qua Let’s Encrypt, loại bỏ hoàn toàn cảnh báo bảo mật thường thấy. Dấu vết TLS fingerprint cho thấy sự trùng khớp với các trang giả mạo khác từng nhắm vào người dùng Meta và MrBeast, cho thấy đây là một bộ kit lừa đảo có sẵn, thuộc mô hình phishing-as-a-service, cho phép bất kỳ ai cũng có thể triển khai mà không cần kỹ năng quá cao.
Để tránh trở thành nạn nhân của các chiến dịch lừa đảo dạng này, người dùng nên lưu ý một số điểm quan trọng:
- Không đăng nhập vào tài khoản cá nhân như Facebook hoặc Google thông qua bất kỳ đường dẫn nào trong email tuyển dụng, trừ khi đã xác minh rõ ràng nguồn gửi
- Kiểm tra kỹ địa chỉ email người gửi, đặc biệt phần tên miền và so sánh với thông tin chính thức của công ty
- Quan sát tên miền của trang web trước khi nhập thông tin. Những tên miền dài bất thường, chứa cụm từ lạ hoặc lệch so với tên thương hiệu là dấu hiệu cần cảnh giác
- Không vội tin vào lời mời việc làm có nội dung quá hấp dẫn, nhất là khi trùng hợp với thời điểm nhạy cảm như vừa gửi CV hoặc đang thất nghiệp
- Tìm kiếm thông tin tuyển dụng thông qua website chính thức của công ty thay vì nhấp vào đường link trong email
- Nếu cảm thấy nghi ngờ, nên dừng lại và hỏi ý kiến từ nguồn đáng tin cậy như đồng nghiệp, quản trị viên CNTT hoặc diễn đàn chuyên môn
Khi niềm tin vào thương hiệu bị lợi dụng, việc nhìn thấy một logo quen thuộc trong email không còn đồng nghĩa với sự an toàn. Sự thận trọng vẫn là lớp bảo vệ đầu tiên và hiệu quả nhất trước các hình thức lừa đảo ngày càng tinh vi.
Theo Cyber Press, WhiteHat
Chỉnh sửa lần cuối: