Tin tức bảo mật về chiến dịch AccountDumpling cho thấy khoảng 30.000 tài khoản Facebook trên toàn cầu đã bị xâm phạm thông qua một chuỗi tấn công mạng khai thác lòng tin vào hạ tầng hợp pháp thay vì giả mạo tên miền.
AccountDumpling và kỹ thuật lẩn tránh kiểm tra email
Nhóm phát hiện từ Guardio Labs mô tả chiến dịch này sử dụng Google AppSheet để phát tán mồi nhử phishing qua các kênh xác thực đầy đủ. Email được gửi trực tiếp từ máy chủ của Google, sử dụng địa chỉ [email protected], nên thường vượt qua các cơ chế SPF, DKIM và DMARC.
Thay vì dựa vào việc spoof domain, chiến dịch này tận dụng chính platform trust của dịch vụ hợp pháp. Điều đó khiến bộ lọc thư rác và hệ thống phòng thủ khó phân biệt giữa nội dung hợp lệ và nội dung độc hại.
Tham khảo báo cáo gốc của Guardio Labs: Guardio Labs – AccountDumpling.
Cơ chế của chiến dịch lừa đảo
Chiến dịch AccountDumpling được thiết kế theo mô hình mô-đun, với 4 cụm phishing riêng biệt nhằm nhắm tới nạn nhân theo các kích hoạt tâm lý khác nhau. Nội dung mồi nhử được phân phối qua Google AppSheet để tạo cảm giác tin cậy ở tầng vận chuyển.
Đặc điểm chính của tấn công mạng này là khai thác luồng email hợp lệ từ hạ tầng thật, trong khi payload bên trong dẫn nạn nhân đến các trang thu thập thông tin đăng nhập và dữ liệu định danh.
Dữ liệu bị thu thập
- Thông tin đăng nhập Facebook
- Mã xác thực hai yếu tố (2FA)
- Ngày sinh
- Ảnh giấy tờ tùy thân do chính phủ cấp
Những dữ liệu này được chuyển gần như tức thời tới các kênh Telegram riêng tư, cho phép kẻ vận hành xác thực thông tin và chiếm quyền tài khoản theo thời gian thực.
Hạ tầng điều khiển và rò rỉ dữ liệu
Phần hậu trường của chiến dịch dựa hoàn toàn vào Telegram bot để thực hiện command-and-control và exfiltration. Dữ liệu bị đánh cắp được đẩy về các kênh riêng, nơi người vận hành giám sát và xử lý ngay khi thu được.
Theo telemetry từ hạ tầng bot được khôi phục, khoảng 30.000 bản ghi nạn nhân đã được xử lý. Đây là một trường hợp rò rỉ dữ liệu nhạy cảm gắn với đánh cắp dữ liệu xác thực và hồ sơ định danh.
Trong bối cảnh này, phát hiện xâm nhập cần tập trung vào hành vi bất thường ở tầng ứng dụng, thay vì chỉ dựa vào kiểm tra nguồn gửi email.
IOC liên quan
- [email protected] – địa chỉ gửi email hợp pháp bị lợi dụng
- Google AppSheet – nền tảng phân phối mồi nhử
- Telegram bot – hạ tầng điều khiển và exfiltration
- PDF tạo bằng Canva – tài liệu chứa metadata tác giả để lộ thông tin vận hành
Phân tích mục tiêu và quy mô
Phân tích địa lý cho thấy 68,6% cá nhân và doanh nghiệp bị nhắm đến nằm tại Hoa Kỳ. Dù vậy, chiến dịch vẫn mang tính toàn cầu khi có quy mô xử lý hàng chục nghìn bản ghi nạn nhân.
Điểm đáng chú ý của tin tức an ninh mạng này là kẻ vận hành không chỉ thu thập tài khoản Facebook cá nhân mà còn tập trung vào Facebook Business accounts, vốn có giá trị cao hơn vì liên quan đến quảng cáo, fanpage và quyền quản trị.
Lỗi vận hành làm lộ danh tính
Guardio Labs truy vết phần lõi của chiến dịch nhờ một lỗi operational security nghiêm trọng. Một file PDF tạo bằng Canva trong cụm tấn công thứ ba vẫn giữ metadata tác giả, làm lộ tên “PHẠM TÀI TÂN”.
Thông tin này được liên kết với một danh tính kinh doanh công khai tại Việt Nam, nơi đang quảng bá dịch vụ khôi phục và bảo mật tài khoản Facebook. Đây là bằng chứng cho thấy chiến dịch được vận hành theo mô hình tuần hoàn: đánh cắp tài khoản, sử dụng tài khoản đó cho chiến dịch gian lận, rồi tìm cách bán dịch vụ khôi phục lại cho nạn nhân.
Ảnh hưởng tới hệ thống và người dùng
Về mặt kỹ thuật, rủi ro bảo mật của chiến dịch nằm ở chỗ email độc hại không bị chặn ở lớp truyền tải. Khi payload đã qua được SPF, DKIM và DMARC, người dùng trở thành tuyến phòng thủ cuối cùng trước nội dung lừa đảo.
Hậu quả trực tiếp bao gồm hệ thống bị xâm nhập ở cấp tài khoản, mất quyền quản trị Facebook Business, và thông tin rò rỉ như mã 2FA hoặc ảnh giấy tờ tùy thân. Những dữ liệu này có thể được dùng để mở rộng xâm nhập trái phép sang các dịch vụ khác nếu người dùng tái sử dụng mật khẩu.
Điểm kiểm tra bảo mật cần lưu ý
- Xác minh nội dung và ngữ cảnh email, không chỉ dựa vào header hợp lệ.
- Giám sát các luồng dữ liệu đi tới Telegram hoặc các endpoint ngoài dự kiến.
- Kiểm tra metadata trong tài liệu PDF, ảnh và file chia sẻ nội bộ.
- Rà soát quyền truy cập các tài khoản Facebook Business có giá trị cao.
Liên hệ với threat intelligence
Với các chiến dịch như AccountDumpling, threat intelligence cần kết hợp phân tích hạ tầng gửi email, kênh exfiltration và metadata tài liệu để nhận diện dấu hiệu bất thường. Điều này đặc biệt quan trọng khi cảnh báo CVE không phải trọng tâm ở đây, mà là sự lạm dụng nền tảng hợp pháp để tạo ra một mối đe dọa mạng khó phát hiện.
Trong thực tế, các đội an toàn thông tin nên ưu tiên kiểm tra luồng xác thực, hoạt động bất thường của tài khoản quản trị, và cảnh báo khi có dấu hiệu đánh cắp dữ liệu hoặc truy cập từ các chiến dịch phishing có tổ chức.
