Các cảnh báo bảo mật từ các công ty công nghệ vốn dĩ được thiết kế để cảnh báo người dùng khi có dấu hiệu bất thường. Nhưng điều gì sẽ xảy ra nếu chính những cảnh báo đó lại là mối nguy? Thực tế, kẻ lừa đảo từ lâu đã giả mạo nhân viên hỗ trợ hoặc bộ phận bảo mật của các tập đoàn công nghệ để đánh cắp thông tin đăng nhập của người dùng — và theo nhiều báo cáo gần đây, chiêu trò này đang được triển khai trở lại, với quy mô lớn.
Cách thức tấn công
Kịch bản thường diễn ra như sau: nạn nhân nhận được một email hoặc cuộc gọi tự xưng đến từ bộ phận hỗ trợ Google, thông báo rằng có người vừa cố gắng xâm nhập tài khoản của họ. Để “bảo vệ tài khoản”, kẻ gian sẽ đề nghị nạn nhân phải đặt lại mật khẩu ngay lập tức.
Tiếp đó, chúng gửi một email đặt lại tài khoản kèm theo mã xác minh. Người dùng, tin tưởng, nhập thông tin đăng nhập và đọc mã xác thực cho “nhân viên hỗ trợ” để xác minh danh tính. Nhưng thực chất, kẻ tấn công lợi dụng chính vài giây đó để chiếm đoạt tài khoản.
Một người dùng trên Reddit đã mô tả việc nhận cuộc gọi từ kẻ giả mạo ở California tự xưng là nhân viên Google:
“Anh ta đang cố gắng khôi phục tài khoản của tôi và giành quyền kiểm soát ngay khi vẫn đang nói chuyện với tôi qua điện thoại. Tôi đã thẳng thắn vạch trần anh ta là kẻ lừa đảo. Thậm chí anh ta còn yêu cầu tôi kiểm tra số điện thoại hiện trên Caller ID và gọi lại để chứng minh mình ‘chính chủ’. Nhưng tất cả chỉ là chiêu trò — vì khi gọi lại số đó, hoàn toàn không có nhân viên nào nghe máy.”
Không chỉ Google – Amazon cũng là mục tiêu bị lợi dụng
Theo Forbes, đây chỉ là một ví dụ điển hình về cách kẻ mạo danh xây dựng lòng tin khi giả danh các tập đoàn công nghệ lớn. Tháng trước, Ủy ban Thương mại Liên bang Mỹ (FTC) cũng cảnh báo khách hàng Amazon về những email hoàn tiền giả mạo. Các tin nhắn lừa đảo này cho rằng sản phẩm của khách hàng “không vượt qua kiểm định chất lượng” và yêu cầu nhấp vào liên kết để nhận hoàn tiền. Kết quả, liên kết độc hại sẽ dẫn tới việc đánh cắp dữ liệu cá nhân.
Mất niềm tin – mối nguy lớn hơn
Điều này khiến người dùng hoang mang: nếu ngay cả những thông báo được cho là từ nhà cung cấp dịch vụ công nghệ cũng không thể tin tưởng, thì còn ai đáng tin?
Các tập đoàn lớn thường cung cấp hướng dẫn để giúp người dùng tự bảo vệ mình trước những chiêu trò này. Google, chẳng hạn, nêu rõ rằng công ty không bao giờ yêu cầu người dùng truy cập một trang đăng nhập hoặc cung cấp xác minh qua điện thoại. Tất cả thông báo hợp lệ sẽ hiển thị tại mục “Hoạt động bảo mật gần đây” trong trang bảo mật của tài khoản Google. Amazon cũng có một trang chính thức giúp nhận diện các email lừa đảo.
Lời khuyên từ chuyên gia
Người dùng Reddit kể trên đã chốt lại bằng một nhận xét đầy thực tế:
“Google sẽ KHÔNG BAO GIỜ gọi điện cho bạn một cách bất ngờ. Họ không quan tâm đến tài khoản của bạn đâu.”
Nghe có vẻ mỉa mai, nhưng lại phản ánh đúng sự thật. Để tự bảo vệ:
-
Luôn hoài nghi trước mọi yêu cầu cung cấp mã xác minh, mật khẩu hoặc thông tin nhạy cảm.
-
Tuyệt đối không chia sẻ mã xác thực hoặc chấp nhận các yêu cầu khôi phục tài khoản trừ khi bạn chắc chắn 100% rằng chính bạn là người đã khởi tạo quy trình đó.
Trong bối cảnh tội phạm mạng ngày càng tinh vi, sự cảnh giác của người dùng chính là lớp phòng thủ đầu tiên và quan trọng nhất.
