-
09/04/2020
-
95
-
757 bài viết
Emai lừa đảo của Google qua mặt tất cả test bảo mật như DKIM, SPF và DMARC
Một hình thức tấn công lừa đảo cực kỳ tinh vi và nguy hiểm vừa bị phát hiện. Tin tặc đã lợi dụng hạ tầng của chính Google để gửi các email trông hoàn toàn hợp lệ, khiến người dùng tin rằng đây là thông báo thật từ Google.
Nạn nhân nhận được một email có vẻ rất thuyết phục, được gửi từ địa chỉ thật của Google ([email protected]), không có bất kỳ cảnh báo nào từ Gmail. Nội dung email thông báo rằng tài khoản Google của họ đang bị điều tra theo trát lệnh của cơ quan pháp luật, và yêu cầu truy cập một đường link trên Google Sites để “xem chi tiết vụ việc” hoặc “gửi kháng cáo”.
Khi nhấp vào link, người dùng được dẫn đến một trang giả mạo Google Support được thiết kế rất giống thật. Trang này có các nút để “tải tài liệu” hoặc “xem hồ sơ vụ án” – cả hai đều dẫn đến một trang đăng nhập Google giả. Chỉ cần người dùng nhập tài khoản và mật khẩu, toàn bộ thông tin đăng nhập sẽ bị tin tặc thu thập.
Điểm đáng nói là toàn bộ email này vượt qua tất cả các kiểm tra bảo mật như DKIM, SPF và DMARC – vốn thường được dùng để xác định email giả mạo.
Ngoài ra, nhiều chiến dịch phishing khác cũng đang sử dụng tệp SVG chứa mã độc để chuyển hướng người dùng đến các trang giả mạo Microsoft hoặc Google Voice. Theo Kaspersky, hơn 4.100 email kiểu này đã bị phát hiện chỉ trong vài tháng đầu năm 2025.
Nạn nhân nhận được một email có vẻ rất thuyết phục, được gửi từ địa chỉ thật của Google ([email protected]), không có bất kỳ cảnh báo nào từ Gmail. Nội dung email thông báo rằng tài khoản Google của họ đang bị điều tra theo trát lệnh của cơ quan pháp luật, và yêu cầu truy cập một đường link trên Google Sites để “xem chi tiết vụ việc” hoặc “gửi kháng cáo”.
Điểm đáng nói là toàn bộ email này vượt qua tất cả các kiểm tra bảo mật như DKIM, SPF và DMARC – vốn thường được dùng để xác định email giả mạo.
Cách thức hoạt động:
- Tin tặc tạo tài khoản Google mới và một ứng dụng OAuth chứa nội dung giống email lừa đảo.
- Khi cấp quyền cho ứng dụng, Google gửi email cảnh báo đến chính tài khoản đó. Email này có chữ ký DKIM hợp lệ do Google phát ra.
- Tin tặc sau đó chuyển tiếp lại email này từ tài khoản Outlook, giữ nguyên DKIM, qua dịch vụ SMTP tùy chỉnh (Jellyfish), tới hệ thống email trung gian (PrivateEmail), rồi đến Gmail của nạn nhân.
- Kết quả: Người nhận thấy email từ Google, chữ ký hợp lệ, không có cảnh báo – hoàn toàn không nghi ngờ gì.
Hình thức lừa đảo cực kỳ tinh vi bởi:
- Email đi qua hệ thống của Google, khiến nó trông 100% hợp lệ.
- Giao diện giả mạo cực kỳ giống thật, đặt trên nền tảng chính thức của Google (Google Sites).
- Không có tùy chọn báo cáo lạm dụng ngay trên trang giả, gây khó khăn trong việc gỡ bỏ nhanh.
- Mọi công cụ bảo mật phổ biến hiện nay gần như bị đánh lừa hoàn toàn.
Ngoài ra, nhiều chiến dịch phishing khác cũng đang sử dụng tệp SVG chứa mã độc để chuyển hướng người dùng đến các trang giả mạo Microsoft hoặc Google Voice. Theo Kaspersky, hơn 4.100 email kiểu này đã bị phát hiện chỉ trong vài tháng đầu năm 2025.
Theo The Hacker News
Chỉnh sửa lần cuối: