Một chiến dịch tấn công phishing mới vừa được phát hiện, lợi dụng chính tính năng cảnh báo URL bên ngoài của Facebook để lừa người dùng giao nộp thông tin đăng nhập tài khoản. Kẻ tấn công đã tinh vi che giấu các liên kết độc hại đằng sau tên miền và phong cách đồ họa chính thức của Facebook, khiến mồi nhử trông xác thực ngay cả đối với người dùng cảnh giác nhất.
Kỹ Thuật Lợi Dụng Tính Năng Cảnh Báo URL của Facebook
Cơ Chế Khai Thác Tính Năng An Toàn
Facebook đã triển khai trang cảnh báo liên kết bên ngoài nhằm bảo vệ người dùng khỏi việc vô tình điều hướng đến các trang web độc hại. Khi người dùng nhấp vào một liên kết dẫn ra khỏi tên miền của Facebook, họ sẽ thấy một trang trung gian với thông báo “Bạn sắp rời khỏi Facebook” kèm theo nút “Tiếp tục”.
Trong chiến dịch phishing này, kẻ tấn công đã nhúng URL đích độc hại thực sự vào tham số u của liên kết chuyển hướng của Facebook. Chẳng hạn, một liên kết được định dạng như sau:
https://www.facebook.com/flx/warn/?u=https%3A%2F%2Fdomain.comKhi nhấp vào, liên kết này sẽ hiển thị trang cảnh báo chính thức của Facebook. Tuy nhiên, việc nhấn “Tiếp tục” sẽ đưa nạn nhân đến trang web do kẻ tấn công kiểm soát.
Vì cả lần nhấp ban đầu và trang cảnh báo đều hiển thị facebook.com trên thanh địa chỉ, người nhận dễ dàng tin tưởng liên kết và tiếp tục truy cập. Điều này lợi dụng sự tin cậy của người dùng vào tên miền chính thức, vượt qua các biện pháp kiểm tra thông thường.
Tấn Công Kỹ Thuật Xã Hội Qua Email
Các email được gửi đi giả mạo đội ngũ bảo mật tài khoản Facebook, cảnh báo người dùng về các yêu cầu xác minh khẩn cấp hoặc nguy cơ tài khoản bị đình chỉ nếu không tuân thủ. Những email này là một phần của chiến dịch tấn công phishing quy mô lớn.
Tiêu đề email thường bắt chước các cảnh báo bảo mật chính hãng, ví dụ: “Tài khoản của bạn sẽ bị giới hạn nếu không xác minh” hoặc “Cảnh báo bảo mật: Đăng nhập bất thường”. Nội dung email được thiết kế với thương hiệu Facebook, bao gồm logo, chân trang và các nút “Xác minh ngay” được định dạng chuyên nghiệp.
Khi di chuột qua các liên kết, người dùng thường thấy tên miền facebook.com, điều này càng củng cố niềm tin sai lầm trước khi quá trình chuyển hướng thực sự xảy ra. Điều này cho thấy sự tinh vi trong cách thức lừa đảo.
Các nhà nghiên cứu bảo mật tại Trustwave MailMarshal SpiderLabs đã phát hiện các email phishing này được gửi bằng nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Đức, tiếng Tây Ban Nha và tiếng Hàn, nhằm mở rộng phạm vi địa lý.
Mỗi biến thể ngôn ngữ đều sử dụng các lời nhắc khẩn cấp, gây sợ hãi như: nỗ lực đăng nhập không được nhận diện, hạn chế tài khoản hoặc yêu cầu đặt lại mật khẩu bắt buộc. Các chiến thuật kỹ thuật xã hội này tăng thêm tính cấp bách, cảnh báo rằng việc không hành động trong vòng 24 giờ sẽ dẫn đến việc vô hiệu hóa tài khoản, buộc nạn nhân phải hành động nhanh chóng và thiếu suy nghĩ.
Hạ Tầng Tấn Công và Thu Thập Thông Tin Đăng Nhập
Vận Hành Hạ Tầng Kẻ Tấn Công
Kẻ tấn công đăng ký các tên miền mới hàng ngày để né tránh bộ lọc thư rác và danh sách đen. Chúng thường chọn những tên miền giống với thương hiệu của Facebook hoặc kết hợp các tên miền phụ phổ biến với một số lỗi chính tả nhỏ.
Việc liên tục thay đổi tên miền giúp kẻ tấn công duy trì hoạt động trong thời gian dài hơn và khó bị phát hiện bởi các hệ thống bảo mật truyền thống. Điều này là một thách thức lớn đối với công tác an ninh mạng.
Trang Đăng Nhập Giả Mạo
Sau khi theo liên kết chuyển hướng, nạn nhân sẽ gặp một trang bắt chước giao diện đăng nhập của Facebook. Cổng đăng nhập giả mạo này sao chép chính xác bố cục của facebook.com/login, bao gồm các trường nhập email hoặc số điện thoại, trường mật khẩu và nút “Đăng nhập”.
Những khác biệt nhỏ trong URL — thường là một chuỗi ký tự ngẫu nhiên hoặc lỗi chính tả nhẹ — được hiển thị quá nhanh khiến hầu hết nạn nhân không kịp nhận ra. Thông tin đăng nhập được gửi đi sẽ được thu thập theo thời gian thực và chuyển tiếp đến máy chủ điều khiển của kẻ tấn công.
Quá trình này cho phép kẻ tấn công ngay lập tức chiếm quyền điều khiển tài khoản hoặc thực hiện các hành vi khai thác tiếp theo. Rò rỉ dữ liệu nhạy cảm là một nguy cơ hiện hữu từ các cuộc tấn công này.
Các Dấu Hiệu Nhận Biết và Chỉ Số Đe Dọa (IOCs)
Để hỗ trợ các tổ chức và người dùng cá nhân trong việc phát hiện và phòng chống, dưới đây là các chỉ số đe dọa (IOCs) đã được xác định:
- Mẫu URL bị lợi dụng:
https://www.facebook.com/flx/warn/?u=[MALICIOUS_URL_HERE](trong đó[MALICIOUS_URL_HERE]là liên kết đến trang phishing của kẻ tấn công, được mã hóa URL)
- Chủ đề email lừa đảo (tiếng Anh):
Your Account Will be Limited Without VerificationSecurity Alert: Unusual Login Attempt
- Chủ đề email lừa đảo (biến thể theo ngôn ngữ): Các biến thể tương tự bằng tiếng Đức, Tây Ban Nha, Hàn Quốc với nội dung khẩn cấp về tài khoản.
Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro
Các tổ chức và người dùng cá nhân có thể thực hiện nhiều bước để phòng thủ chống lại kế hoạch tấn công phishing tinh vi này. Việc triển khai các biện pháp bảo mật mạnh mẽ là cần thiết để bảo vệ thông tin rò rỉ.
Nâng Cao Nhận Thức Người Dùng
Đầu tiên, cần giáo dục nhân viên và người thân về việc lợi dụng các liên kết chuyển hướng hợp pháp. Người dùng nên kiểm tra URL đích sau khi chuyển hướng, thay vì chỉ dựa vào tên miền trước khi chuyển hướng. Việc hiểu rõ cơ chế này giúp nhận diện các mối đe dọa tiềm ẩn.
Một thói quen tốt là luôn kiểm tra kỹ thanh địa chỉ sau khi trang web đã tải hoàn chỉnh, tìm kiếm bất kỳ dấu hiệu bất thường nào như lỗi chính tả hoặc tên miền lạ. Điều này củng cố các biện pháp bảo mật thông tin cá nhân.
Triển Khai Xác Thực Đa Yếu Tố (MFA)
Thứ hai, triển khai xác thực đa yếu tố (MFA) cho tất cả các tài khoản Facebook và email. Ngay cả khi thông tin đăng nhập bị đánh cắp, MFA vẫn có thể ngăn chặn truy cập trái phép. Đây là một lớp bảo vệ quan trọng chống lại việc chiếm quyền điều khiển tài khoản.
Giải Pháp Bảo Mật Email Nâng Cao
Thứ ba, triển khai các cổng bảo mật email (email security gateways) có khả năng viết lại hoặc cách ly các liên kết chứa tham số chuyển hướng đáng ngờ. Các giải pháp này có thể tự động phân tích và vô hiệu hóa các liên kết độc hại trước khi chúng tiếp cận hộp thư đến của người dùng.
Các nguồn cấp dữ liệu tình báo mối đe dọa (threat intelligence) nâng cao có thể giúp xác định các tên miền mới được đăng ký mà giả mạo các thương hiệu đáng tin cậy. Hơn nữa, các nhóm bảo mật nên theo dõi các đợt gia tăng tin nhắn giả mạo từ Facebook và cập nhật chính sách lọc URL để gắn cờ các mẫu facebook.com/flx/warn đáng ngờ.
Công Cụ Hỗ Trợ Người Dùng Cuối
Người dùng cuối có thể báo cáo các nỗ lực phishing trực tiếp thông qua các kênh của Facebook. Ngoài ra, việc duy trì trình duyệt và các tiện ích mở rộng chống phishing được cập nhật sẽ giúp phát hiện các trang đăng nhập giả mạo. Các công cụ này cung cấp một lớp bảo vệ bổ sung, cảnh báo người dùng về các trang web độc hại.
Khi các chiến dịch phishing tiếp tục phát triển, lợi dụng chính các tính năng bảo mật được thiết kế để bảo vệ người dùng, sự cảnh giác vẫn là yếu tố then chốt. Bằng cách kết hợp đào tạo nâng cao nhận thức người dùng, kiểm soát xác thực mạnh mẽ và lọc email chủ động, các tổ chức có thể giảm thiểu rủi ro do các cuộc tấn công phishing lừa đảo này gây ra.
