Trò lừa đảo Gmail này khiến ai cũng có thể mắc bẫy

Chia sẻ trên blog cá nhân, chuyên gia tư vấn giải pháp của Microsot - Sam Mitrovic đã tiết lộ cách thức tấn công của kẻ gian khi anh trở thành mục tiêu của trò lừa đảo.

Trò lừa đảo Gmail khiến ai cũng có thể mắc bẫy

Cụ thể, Sam Mitrovic đã nhận được một thông báo yêu cầu anh cần khôi phục tài khoản Gmail mà anh không hề tạo trước đó. 40 phút sau khi từ chối yêu cầu, Sam nhận được một cuộc gọi lừa đảo từ Sydney (Úc), và anh đã từ chối.

Một tuần sau, vào cùng thời điểm trong ngày, Sam một lần nữa nhận được thông báo yêu cầu anh chấp thuận nỗ lực khôi phục tài khoản Gmail, và anh tiếp tục từ chối. Vẫn chiêu trò cũ, 40 phút sau, anh lại nhận được một cuộc gọi điện thoại. Lần này, anh nhấc máy và thấy mình đang nói chuyện với một người Mỹ mặc dù cuộc gọi bắt nguồn từ Úc.

Người đàn ông ở đầu dây bên kia nói rằng có hoạt động đáng ngờ trên tài khoản của anh. Anh ta hỏi Sam rằng anh đang đi du lịch hay anh đã đăng nhập từ Đức. Khi Sam trả lời "không" cho cả hai câu hỏi (được thiết kế để dọa nạn nhân nghĩ rằng tài khoản của anh ta đã bị xâm phạm), Sam được thông báo rằng có người đã truy cập vào tài khoản của anh trong một tuần và tải xuống dữ liệu tài khoản.

Trong khi đang gọi điện, Sam đã tìm kiếm thông tin số điện thoại gọi đến và nó hiện ra là một số điện thoại hợp lệ của Google tại Úc. Tuy nhiên, những kẻ lừa đảo có thể dễ dàng giả mạo một số điện thoại bất kì.

Các trò lừa đảo Gmail ngày càng tinh vi. Ảnh minh họa

"Những vụ lừa đảo ngày càng tinh vi hơn, thuyết phục hơn và được triển khai ở quy mô ngày càng lớn hơn. Mọi người rất bận rộn và vụ lừa đảo này nghe có vẻ hợp pháp đến mức tôi sẽ cho họ điểm A vì nỗ lực của họ. Nhiều người có thể sẽ sập bẫy. Có nhiều công cụ để chống lại những kẻ lừa đảo, tuy nhiên, ở cấp độ cá nhân, công cụ tốt nhất vẫn là cảnh giác, thực hiện các kiểm tra cơ bản như trên hoặc tìm kiếm sự hỗ trợ từ người mà bạn tin tưởng" - Sam Mitrovic, chuyên gia tư vấn giải pháp của Microsoft cho biết.

Khi Sam yêu cầu bên kia gửi email cho anh để xác thực tính hợp lệ của cuộc gọi, Sam có thể nghe thấy trong điện thoại tiếng ai đó đang gõ bàn phím và bầu không khí chung của một tổng đài. Khi email đến, nó có vẻ hợp lệ ngoại trừ địa chỉ email là một tên miền không phải của Google.

Những kẻ lừa đảo có thể thực hiện điều này bằng cách sử dụng Salesforce CRM, phần mềm sau cho phép người dùng đặt địa chỉ người gửi thành bất kỳ địa chỉ nào mà họ muốn và gửi qua máy chủ Gmail/Google.

Điều gì xảy ra nếu nạn nhân nhấn vào liên kết trong email giả mạo?

Trên Reddit, một thành viên tiết lộ anh cũng từng là mục tiêu nhưng anh đã không mắc bẫy. Tuy nhiên, không phải ai cũng có thể nhận diện được đây là chiêu trò lừa đảo để từ chối.

Sam cho rằng, nếu làm theo hướng dẫn của kẻ gian, người dùng sẽ được chuyển hướng đến một trang web đăng nhập giả mạo Gmail, nơi bạn được yêu cầu nhập thông tin tài khoản. Do đó, việc mất tài khoản Google là điều hoàn toàn có thể xảy ra.

Tiểu Minh