Cảnh báo

Một chiến dịch lừa đảo mạng tinh vi nhắm vào người dùng Facebook, lợi dụng dịch vụ hợp pháp của Google để qua mặt hệ thống bảo vệ email, chiếm đoạt thông tin tài khoản.

Một chiến dịch lừa đảo mạng tinh vi vừa được phát hiện, nhắm trực diện vào người dùng Facebook. Điều đáng lo ngại là thủ phạm đã lợi dụng chính một dịch vụ hợp pháp của Google để qua mặt các hệ thống bảo vệ email, khiến người dùng khó phát hiện. Các chuyên gia an ninh mạng từ KnowBe4 đã phát đi cảnh báo khẩn cấp về chiêu trò nguy hiểm này.

Theo cảnh báo từ KnowBe4, tội phạm mạng đang khai thác nền tảng Google AppSheet – một công cụ phát triển ứng dụng không cần mã – để phát tán hàng loạt email lừa đảo. Nhờ được gửi từ địa chỉ hợp pháp “@appsheet.com” của Google, các email này dễ dàng vượt qua các cơ chế xác thực tên miền như SPF, DKIM và DMARC, cũng như các cổng bảo mật email (SEG) của Microsoft. Điều này cho phép thư lừa đảo xuất hiện trực tiếp trong hộp thư đến của người dùng mà không bị đánh dấu là nguy hiểm.

Đáng chú ý, mỗi email được tạo với một mã ID riêng biệt, khiến các hệ thống phát hiện truyền thống khó nhận diện và ngăn chặn.

Nội dung email giả mạo thông báo từ Facebook, cáo buộc người dùng vi phạm quyền sở hữu trí tuệ và cảnh báo tài khoản sẽ bị xóa trong vòng 24 giờ. Kèm theo đó là nút “Submit an Appeal” (Gửi đơn kháng nghị) để tạo cảm giác cấp bách. Khi người dùng bấm vào, họ sẽ được chuyển đến một trang web giả mạo giao diện đăng nhập Facebook, được lưu trữ trên nền tảng Vercel – vốn là một dịch vụ uy tín chuyên lưu trữ các ứng dụng web hiện đại. Điều này càng khiến chiến dịch lừa đảo trở nên thuyết phục hơn.

Tại trang giả mạo, nếu nạn nhân nhập tên đăng nhập và mã xác thực hai yếu tố (2FA), toàn bộ thông tin sẽ bị chuyển thẳng đến tay kẻ tấn công. Thủ đoạn còn tinh vi hơn khi lần đăng nhập đầu tiên cố tình báo “sai mật khẩu” để buộc người dùng nhập lại, nhằm xác minh tính chính xác của thông tin.

Nguy hiểm hơn, mã 2FA sau khi bị đánh cắp sẽ được tin tặc sử dụng ngay lập tức để đăng nhập vào Facebook và chiếm quyền kiểm soát tài khoản. Chúng còn lấy được mã phiên đăng nhập (session token) – cho phép duy trì quyền truy cập ngay cả khi người dùng đã đổi mật khẩu.

Người dùng được khuyến cáo nâng cao cảnh giác trước các email yêu cầu hành động khẩn cấp hoặc cung cấp thông tin cá nhân, kể cả khi chúng có vẻ được gửi từ các nguồn uy tín. Chuyên gia an ninh mạng nhấn mạnh: luôn kiểm tra cẩn thận địa chỉ người gửi, không vội nhấp vào liên kết đáng ngờ và tuyệt đối không nhập thông tin đăng nhập nếu không chắc chắn về tính xác thực của trang web.

Từ ngày 22/5, người dân đã có thể thực hiện điều này trên ứng dụng định danh điện tử VNeID.

Mới đây, Cục Cảnh sát Quản lý hành chính về trật tự xã hội (Bộ Công an) chính thức công bố thí điểm Cổng ký số tập trung trên nền tảng ứng dụng định danh và xác thực điện tử VNeID. Đây là bước tiến quan trọng trong chiến lược số hóa hành chính, hỗ trợ người dân ký số các tài liệu, hợp đồng điện tử một cách nhanh chóng và an toàn.

Tính năng mới cho phép người dùng VNeID đăng ký chứng thư chữ ký số, theo dõi lịch sử ký cũng như xem lại các chứng thư đã ký. Để sử dụng, người dân chỉ cần vào mục “Nhóm dịch vụ”, chọn “Dịch vụ khác” rồi truy cập vào biểu tượng “Chứng thư chữ ký số” trên giao diện chính của ứng dụng VNeID.

Cổng ký số này là một phần thuộc hệ thống RS-HUB – nền tảng ký số tập trung do Trung tâm nghiên cứu, ứng dụng dữ liệu dân cư và căn cước công dân (Trung tâm RAR) phát triển, phối hợp cùng các nhà cung cấp dịch vụ và đơn vị phần mềm trong nhiều lĩnh vực như ngân hàng, y tế.

Tính năng mới cho phép người dùng VNeID đăng ký chứng thư chữ ký số, theo dõi lịch sử ký cũng như xem lại các chứng thư đã ký.

Theo đại tá Ngô Như Cường, nền tảng RS-HUB không chỉ tháo gỡ các điểm nghẽn trong triển khai chữ ký số hiện tại mà còn đóng vai trò là hạ tầng quan trọng giúp đồng bộ hóa các hoạt động chuyển đổi số trên phạm vi toàn quốc. Việc triển khai trong năm 2025 được xem là bước đi mang tính chiến lược nhằm hiện thực hóa Quyết định 06 của Thủ tướng Chính phủ, trong đó đặt mục tiêu 100% các giao dịch công dân số phải được định danh, ký số và xác thực.

Hiện hệ thống đã kết nối kỹ thuật thành công với 5 nhà cung cấp dịch vụ chữ ký số công cộng lớn gồm VNPT, Viettel, MISA, Nacencomm và Softdreams. Các đơn vị khác như FPT và BKAV cũng đang trong quá trình hoàn tất kết nối. Trong lĩnh vực ngân hàng, Vietcombank đã tích hợp ký số trong hầu hết quy trình nghiệp vụ; BIDV triển khai trong ứng dụng vay mua nhà; PVCombank áp dụng trong giải ngân. Ngành y tế cũng bắt đầu vào cuộc, với Bệnh viện Đa khoa Xanh Pôn là đơn vị đầu tiên thí điểm ký số trong quy trình khám chữa bệnh.

Các chuyên gia nhận định, việc triển khai Cổng ký số tập trung không chỉ là bước tiến công nghệ mà còn là chất xúc tác thúc đẩy kinh tế vĩ mô, giảm chi phí vận hành, nâng cao năng suất và hình thành một hệ sinh thái số toàn diện, hiệu quả. Đây cũng là tiền đề quan trọng để người dân, doanh nghiệp và cơ quan nhà nước cùng chuyển mình theo hướng số hóa một cách đồng bộ, bền vững.

Nguồn: Trang thông tin điện tử của Cục Cảnh sát quản lý hành chính về trật tự xã hội

Theo Công an Hà Nội, không chỉ dừng lại ở các vụ lừa đảo, thông tin đơn hàng bị lộ còn có thể được sử dụng cho các mục đích phức tạp hơn.

Công an Thành phố Hà Nội ngày 29/5 cho biết, thời gian qua, nhiều người dân chia sẻ khi vừa đặt mua hàng trên mạng thì chỉ vài giờ sau đã có người gọi điện tự xưng là “shipper” đọc đúng tên, địa chỉ, món hàng và số tiền, yêu cầu chuyển khoản trước một phần tiền hàng vì lý do đơn hàng cần xác nhận.

Thực tế, CATP Hà Nội đã tiếp nhận, giải quyết một số vụ việc các đối tượng giả mạo shipper gọi điện yêu cầu người dân chuyển khoản tiền cọc để giao hàng hoặc thông báo trúng thưởng không có thật dựa trên thông tin đơn hàng bị lộ.

Theo Công an thành phố, không chỉ dừng lại ở các vụ lừa đảo, thông tin đơn hàng bị lộ còn có thể được sử dụng cho các mục đích phức tạp hơn như phân tích hành vi tiêu dùng trái phép, bán hàng giả, hàng nhái, hàng kém chất lượng, gửi thư rác, tin nhắn quảng cáo không mong muốn.

Nghiêm trọng hơn là tạo cơ sở dữ liệu cho các cuộc tấn công lừa đảo có chủ đích (phishing) đánh cắp các thông tin từ tài khoản ngân hàng, mạng xã hội của nạn nhân nhằm chiếm đoạt tài sản.

Việc lộ lọt thông tin có nhiều nguyên nhân khác nhau nhưng chủ yếu là việc thực hiện chưa đúng các biện pháp bảo mật an ninh an toàn thông tin của các cơ quan, tổ chức, cá nhân. Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao CATP Hà Nội đã ra khuyến cáo với cả các sàn TMĐT và người mua hàng trên mạng để phòng, tránh tình trạng lộ lột thông tin đơn hàng.

Đối với người tiêu dùng:

• Cẩn trọng khi nhận hàng: Luôn kiểm tra kỹ thông tin người giao, đối chiếu với thông tin đơn hàng trên ứng dụng. Không vội vàng thanh toán hay cung cấp thông tin cá nhân nếu có nghi ngờ. Liên hệ trực tiếp với người bán hoặc tổng đài của sàn TMĐT để xác minh.
• Bảo mật tài khoản: Sử dụng mật khẩu mạnh, phức tạp và khác nhau cho các tài khoản mua sắm. Kích hoạt các biện pháp xác thực hai yếu tố.
• Hạn chế chia sẻ công khai: Không chia sẻ hình ảnh, thông tin chi tiết đơn hàng lên mạng xã hội.
• Xử lý bao bì cẩn thận: Xé nhỏ hoặc làm mờ thông tin cá nhân trên gói hàng trước khi vứt bỏ.
• Cập nhật thông tin: Theo dõi các cảnh báo từ cơ quan chức năng và các chuyên gia an ninh mạng về các hình thức lừa đảo mới.
• Thông báo khi có sự cố: Nếu nghi ngờ thông tin cá nhân bị lộ hoặc bị lừa đảo, cần nhanh chóng thông báo cho sàn TMĐT, đơn vị vận chuyển và trình báo cơ quan công an để được hỗ trợ.

Đối với các sàn TMĐT và đối tác:

• Tăng cường bảo mật hệ thống: Thường xuyên rà soát, vá các lỗ hổng bảo mật, mã hóa dữ liệu khách hàng, đặc biệt là các thông tin nhạy cảm liên quan đến đơn hàng.
• Siết chặt quản lý đối tác: Yêu cầu các đối tác bán hàng và đơn vị vận chuyển tuân thủ nghiêm ngặt các quy định về bảo mật thông tin khách hàng. Có chế tài xử lý nghiêm các trường hợp vi phạm.
• Nâng cao nhận thức cho nhân viên: Đào tạo và phổ biến quy định bảo mật thông tin cho toàn bộ nhân viên, đặc biệt là đội ngũ giao hàng.
• Minh bạch hóa chính sách: Công khai, rõ ràng các chính sách thu thập, sử dụng và bảo vệ thông tin cá nhân của khách hàng.
• Hỗ trợ khách hàng: Xây dựng kênh tiếp nhận và xử lý nhanh chóng các phản ánh của khách hàng về việc lộ lọt thông tin.

Lợi dụng sự biến động của giá vàng, các đối tượng xấu đã dựng “kịch bản” lừa đảo tinh vi để chiếm đoạt tài sản của người dân có nhu cầu mua bán, trao đổi vàng.

Theo công an, trong thời gian qua, giá vàng trong và ngoài nước đã có sự biến động mạnh. Nắm bắt được tình hình trên, đối tượng xấu đã dựng “kịch bản” lừa đảo để chiếm đoạt tài sản của người dân có nhu cầu mua bán, trao đổi vàng qua mạng xã hội.

Thủ đoạn của các đối tượng là tạo lập tài khoản Facebook ảo, sau đó tham gia các hội nhóm trao đổi, mua bán vàng để tìm kiếm “con mồi”. Đối với người có nhu cầu mua, đối tượng sẽ giả thành người có nhu cầu bán vàng, còn đối với người bán thì ngược lại.

Khi tìm được “con mồi”, đối tượng sẽ nhắn tin, trao đổi yêu cầu người mua, bán vàng thật cung cấp vị trị, số lượng bán, giá bán…. (quan trọng là vị trí của người mua, bán để hẹn gặp giao dịch trực tiếp).

Đối tượng sẽ đóng vai trò trung gian để hẹn cả người bán vàng thật, người mua vàng thật ra các cửa hàng vàng uy tín để giao dịch, kiểm tra vàng trực tiếp.

Nhiều người mua vàng đã tin tưởng rằng người thật, vàng thật nên chuyển tiền cho đối tượng trung gian. Sau khi chuyển khoản xong và muốn lấy vàng để ra về thì người bán báo chưa nhận được tiền, liên lạc với chủ tài khoản Facebook và số điện thoại của đối tương thì đều không được. Lúc này, nạn nhân mới phát hiện mình bị lừa.

Một vụ việc điển hình vừa xảy ra tại tiệm vàng K.K.V.H. trên địa bàn quận Liên Chiểu, TP Đà Nẵng.

Theo đó, anh N.V.B. (trú quận Liên Chiểu) có nhu cầu bán vàng, thông qua trang “Cộng đồng vàng Đà Nẵng” nên anh trao đổi với tài khoản Facebook “Vân Thị Dương” để thực hiện bán vàng.

Cùng lúc đó, một phụ nữ tên N.N.C. (trú tại phường Thạc Gián, quận Thanh Khê) liên hệ tài khoản “Ngọc My” với nhu cầu mua vàng.

Cả hai được các tài khoản lạ dàn dựng “kịch bản” giao dịch trực tiếp tại tiệm vàng, nhưng thực chất là không hề quen biết nhau ngoài đời.

Khi anh B. mang 10 chỉ vàng đến và giao cho chị C. kiểm tra, chị này đã chuyển hơn 109 triệu đồng vào tài khoản của một người tên Hoàng Văn Nghiêm theo yêu cầu của tài khoản “Ngọc My”, người mà chị tưởng là chủ vàng.

Sau giao dịch, cả hai đều không nhân lại được tiền hay vàng, mới phát hiện mình đã bị lừa qua một trung gian ảo.

Trước tình hình trên, Công an Đà Nẵng khuyến cáo người dân, khi có nhu cầu mua bán, trao đổi vàng hãy ra các cửa hàng vàng lớn, uy tín, có nguồn gốc rõ ràng, có giấy phép hoạt động kinh doanh đầy đủ.

Đồng thời, đề cao cảnh giác, cẩn trọng khi mua bán, trao đổi vàng trên không gian mạng, tiềm ẩn nhiều nguy cơ rủi ro, lừa đảo.