Khi email và lời nhắc từ Google trở thành bẫy phishing, hơn 3.000 nạn nhân bị nhắm tới

[WhiteHat Team]

Mới đầu năm, một chiến dịch lừa đảo qua email quy mô lớn với thủ đoạn đặc biệt tinh vi vừa bị lật tẩy, tin tặc không giả mạo địa chỉ gửi thông thường mà lợi dụng chính hạ tầng Google Cloud để phát tán email lừa đảo. Nhờ xuất phát từ các tên miền hợp pháp của Google, những email này dễ dàng vượt qua các cơ chế bảo mật truyền thống, đánh lừa người dùng và dẫn tới việc đánh cắp thông tin đăng nhập Microsoft 365 trên diện rộng.
​

​

Theo phân tích của Check Point, chiến dịch phishing này đã diễn ra trong ít nhất 14 ngày vào tháng 12/2025, với gần 9.400 email lừa đảo được gửi tới khoảng 3.200 tổ chức và cá nhân tại Mỹ, châu Á - Thái Bình Dương, châu Âu, Canada và khu vực Mỹ Latinh.

Điểm đáng chú ý là các email này được gửi từ địa chỉ hợp pháp của Google khiến chúng gần như không bị chặn bởi các bộ lọc email thông thường:​

noreply-application-integration@google[.]com​

Check Point cho biết các email được thiết kế giống hệt thông báo nội bộ của doanh nghiệp, như:​

• Thông báo có thư thoại mới​
• Yêu cầu truy cập hoặc phân quyền tài liệu​
• Thông báo được chia sẻ file quan trọng (ví dụ: tài liệu “Q4”)​

Đáng chú ý, nhiều email trong chiến dịch này được thiết kế theo phong cách thông báo của Google Tasks. Nội dung email giả mạo mô phỏng gần như hoàn toàn giao diện, cách trình bày và ngôn ngữ của các thông báo nhiệm vụ nội bộ, với các nút kêu gọi hành động như “View task” hoặc “Mark complete”.

Chính việc mượn danh Google Tasks khiến email trở nên đặc biệt thuyết phục trong môi trường doanh nghiệp, nơi nhân viên thường xuyên nhận các thông báo giao việc, nhắc hạn hoặc cập nhật trạng thái công việc qua email. Với người dùng phổ thông, đây chỉ đơn giản là một thông báo công việc quen thuộc; với hệ thống bảo mật, email này hoàn toàn hợp lệ vì được gửi từ hạ tầng chính thức của Google. Chính sự quen thuộc này khiến người nhận ít nghi ngờ và dễ bấm vào liên kết.

Chiến dịch này phản ánh một mô hình đe dọa mới nổi, trong đó kẻ tấn công lợi dụng các dịch vụ đám mây của Google, bao gồm AppSheet, Google Forms và Application Integration và Google Tasks style làm cơ chế phát tán các cuộc tấn công lừa đảo.

Theo tài liệu của Google, mỗi tác vụ gửi email chỉ cho phép tối đa 30 người nhận. Tuy nhiên, không có ràng buộc chặt chẽ về danh sách người nhận, cho phép kẻ tấn công:​

• Gửi email tới bất kỳ địa chỉ nào​
• Sử dụng tên miền Google hợp pháp​
• Vượt qua kiểm tra SPF, DKIM, DMARC​

Điều này tạo ra một “lỗ hổng niềm tin”, nơi người dùng và hệ thống bảo mật mặc định tin tưởng email vì nó đến từ Google.​

Cơ chế tấn công: Vì sao chiến dịch này đặc biệt nguy hiểm?​

Chiến dịch phishing này được xây dựng theo chuỗi tấn công nhiều lớp, tận dụng liên tiếp các nền tảng đám mây lớn để giảm tối đa mức độ nghi ngờ.

Khi người dùng nhấp vào liên kết trong email:​

1. Họ được chuyển tới một đường dẫn trên "storage[.]cloud[.]google[.]com" (một dịch vụ hợp pháp khác của Google).​
2. Sau đó, liên kết tiếp tục chuyển hướng sang "googleusercontent[.]com", nơi hiển thị CAPTCHA giả hoặc bước xác minh hình ảnh.​
   • Mục đích là chặn công cụ quét tự động và sandbox bảo mật​
   • Người dùng thật thì vẫn dễ dàng vượt qua​
3. Sau khi “xác minh”, nạn nhân bị đưa tới trang đăng nhập Microsoft giả mạo, không thuộc tên miền chính thức của Microsoft.​
4. Mọi thông tin đăng nhập được nhập vào đều bị thu thập và gửi về máy chủ của tin tặc.​

Theo các nhà nghiên cứu, chuỗi chuyển hướng này tạo cảm giác hợp pháp từ đầu đến cuối, vì mỗi bước đều gắn với các thương hiệu lớn và quen thuộc.​

Mục tiêu và phạm vi ảnh hưởng​

Phân tích cho thấy chiến dịch này nhắm vào nhiều lĩnh vực khác nhau, trong đó nổi bật là:​

• Sản xuất​
• Công nghệ​
• Tài chính​
• Dịch vụ chuyên nghiệp​
• Bán lẻ​

Ngoài ra, các ngành như truyền thông, giáo dục, y tế, năng lượng, chính phủ, du lịch và vận tải cũng bị ảnh hưởng.

Nguyên nhân là các lĩnh vực này thường xuyên sử dụng thông báo tự động, chia sẻ tài liệu và quy trình phân quyền, khiến email mang thương hiệu Google trở nên đặc biệt đáng tin.​

Mức độ nguy hiểm và hậu quả tiềm ẩn​

Việc bị đánh cắp tài khoản Microsoft 365 có thể kéo theo nhiều hậu quả nghiêm trọng:​

• Tin tặc truy cập email doanh nghiệp, tài liệu nội bộ​
• Tiếp tục gửi email lừa đảo từ chính tài khoản bị chiếm​
• Truy cập SharePoint, OneDrive, Teams​
• Mở đường cho các cuộc tấn công tiếp theo như Business Email Compromise (BEC)​

Đáng lo ngại hơn, theo cập nhật từ xorlab và Ravenmail, chiến dịch này còn mở rộng sang:​

• OAuth consent phishing​
• Lừa người dùng cấp quyền cho ứng dụng Azure AD độc hại​

Một khi quyền OAuth được cấp, kẻ tấn công có thể:​

• Truy cập tài nguyên cloud​
• Quản lý máy ảo, lưu trữ, cơ sở dữ liệu​
• Duy trì quyền truy cập lâu dài thông qua access token và refresh token, ngay cả khi mật khẩu đã bị đổi​

Sau khi nhận được báo cáo, Google cho biết đã:​

• Chặn việc lạm dụng tính năng gửi email trong Application Integration​
• Triển khai thêm các biện pháp để ngăn chặn hành vi tương tự trong tương lai​

Tuy nhiên, các chuyên gia an ninh mạng khuyến cáo người dùng và tổ chức cần chủ động hơn bằng cách:​

• Nâng cao cảnh giác với email dù đến từ tên miền hợp pháp​
• Kiểm tra kỹ liên kết trước khi đăng nhập tài khoản​
• Kích hoạt xác thực đa yếu tố (MFA) cho Microsoft 365​
• Rà soát danh sách ứng dụng OAuth đã được cấp quyền​
• Theo dõi hành vi đăng nhập bất thường từ vị trí hoặc thiết bị lạ​
• Đào tạo nhân viên nhận diện email lừa đảo tinh vi​

Chiến dịch phishing lợi dụng Google Cloud lần này cho thấy một xu hướng đáng lo ngại, tin tặc không cần giả mạo mà khai thác chính các nền tảng đáng tin cậy để tấn công người dùng. Khi ranh giới giữa “email hợp pháp” và “email lừa đảo” ngày càng mờ nhạt, các biện pháp bảo mật kỹ thuật đơn thuần là chưa đủ. Người dùng và tổ chức cần kết hợp công nghệ, quy trình và nhận thức an toàn thông tin để giảm thiểu rủi ro trong bối cảnh các cuộc tấn công ngày càng tinh vi và khó phát hiện.​

WhiteHat​