Chiến dịch lừa đảo AppSheet đánh cắp 30.000 tài khoản Facebook toàn cầu

[WhiteHat Team]

Một chiến dịch tấn công mạng quy mô lớn vừa bị phát hiện, cho thấy mức độ tinh vi ngày càng cao của các hoạt động lừa đảo trên không gian mạng. Lợi dụng các nền tảng hợp pháp như Google AppSheet, tin tặc đã triển khai một mô hình “phishing relay” để phát tán email lừa đảo, nhắm trực tiếp vào người dùng Facebook, đặc biệt là các tài khoản doanh nghiệp. Ước tính đã có khoảng 30.000 tài khoản bị chiếm quyền trong chiến dịch này.
​

​

Chiến dịch được các nhà nghiên cứu từ Guardio đặt tên là “AccountDumpling”. Đây được đánh giá là một chiến dịch tấn công lừa đảo có tổ chức, tận dụng sự tin cậy của các nền tảng hợp pháp để qua mặt hệ thống bảo mật email.

Về bản chất, điểm nguy hiểm nằm ở việc tin tặc không tự gửi email từ hạ tầng riêng, mà “mượn” hệ thống gửi mail hợp lệ của AppSheet. Các email lừa đảo được gửi từ địa chỉ “noreply@appsheet .com”, vốn được xác thực đầy đủ qua các cơ chế bảo mật như SPF, DKIM, DMARC. Điều này khiến các hệ thống lọc spam và gateway email doanh nghiệp gần như coi đây là email hợp lệ, từ đó giúp nội dung lừa đảo dễ dàng tiếp cận nạn nhân.

Kịch bản tấn công thường bắt đầu bằng việc gửi email giả mạo bộ phận hỗ trợ của Meta, thông báo tài khoản Facebook Business có nguy cơ bị khóa hoặc xóa vĩnh viễn. Nội dung đánh vào tâm lý hoảng loạn, buộc người dùng phải nhanh chóng thực hiện “khiếu nại” hoặc xác minh. Khi nhấp vào liên kết, nạn nhân bị chuyển hướng đến các trang web giả mạo được thiết kế tinh vi, thu thập thông tin đăng nhập, mã xác thực hai yếu tố (2FA), số điện thoại, email, thậm chí cả giấy tờ tùy thân.

Phân tích sâu hơn cho thấy chiến dịch này không đơn lẻ mà được tổ chức thành nhiều cụm tấn công khác nhau. Một số trang giả mạo được lưu trữ trên các nền tảng như Netlify hoặc Vercel, trong khi các tài liệu hướng dẫn giả được phát tán qua Google Drive dưới dạng PDF tạo từ Canva. Dữ liệu đánh cắp được sau đó được gửi về các kênh Telegram do kẻ tấn công kiểm soát, tạo thành một hệ thống vận hành khép kín.

Đáng chú ý, các tài khoản bị chiếm quyền không chỉ bị khai thác mà còn được “tái sử dụng” trong một hệ sinh thái tội phạm mạng. Tin tặc bán lại các tài khoản Facebook có giá trị – đặc biệt là tài khoản quảng cáo hoặc có lịch sử hoạt động tốt – trên các chợ đen trực tuyến, biến dữ liệu người dùng thành hàng hóa sinh lợi.

Dấu vết điều tra cho thấy chiến dịch có liên quan đến một cá nhân sử dụng tài khoản Canva với metadata chứa tên tiếng Việt. Các phân tích nguồn mở cũng dẫn đến một website cung cấp dịch vụ marketing, cho thấy sự giao thoa giữa hoạt động tiếp thị số và hành vi lạm dụng nền tảng cho mục đích tấn công.​

Rủi ro và hậu quả​

Mặc dù không phải là lỗ hổng phần mềm theo nghĩa truyền thống, chiến dịch này khai thác một “lỗ hổng niềm tin” trong hệ sinh thái số. Khi các nền tảng hợp pháp bị lợi dụng làm trung gian phát tán, người dùng rất khó phân biệt thật giả.

Hậu quả không chỉ dừng lại ở việc mất tài khoản cá nhân. Với các tài khoản doanh nghiệp, việc bị chiếm quyền có thể dẫn đến mất quyền kiểm soát fanpage, thất thoát ngân sách quảng cáo, lộ dữ liệu khách hàng, thậm chí ảnh hưởng đến uy tín thương hiệu. Ở quy mô lớn, điều này còn góp phần nuôi dưỡng thị trường ngầm buôn bán tài khoản số.​

Giải pháp và khuyến nghị​

Trước xu hướng tấn công ngày càng tinh vi, các chuyên gia an ninh mạng khuyến cáo người dùng và doanh nghiệp cần nâng cao cảnh giác, đặc biệt với các email mang tính khẩn cấp liên quan đến tài khoản.​

• Không nhấp vào liên kết trong email yêu cầu xác minh hoặc kháng nghị tài khoản, thay vào đó truy cập trực tiếp trang chính thức​
• Kiểm tra kỹ địa chỉ URL trước khi đăng nhập, đặc biệt với các trang yêu cầu nhập mật khẩu hoặc mã 2FA​
• Kích hoạt xác thực hai yếu tố và sử dụng các phương thức bảo mật nâng cao như ứng dụng xác thực​
• Theo dõi hoạt động đăng nhập bất thường và thiết lập cảnh báo bảo mật cho tài khoản​
• Đối với doanh nghiệp, cần triển khai các giải pháp giám sát email nâng cao và đào tạo nhân viên nhận diện phishing​