Lừa đảo “hoàn tiền” giả mạo Avast để lấy trọn thông tin thẻ tín dụng

Thủ đoạn bắt đầu bằng một trang trông giống như cổng web của Avast, từ logo đến bố cục. Để tăng độ “thật”, logo còn được tải trực tiếp từ hạ tầng phân phối nội dung (CDN) của Avast—một chi tiết đủ để qua mắt người dùng kiểm tra bằng mắt thường.

Ngay khi vào trang, nạn nhân thấy một khung cảnh báo màu cam kiểu “chính chủ” với thông điệp mang tính gây áp lực: yêu cầu hủy phải gửi trong 72 giờ, nhưng đồng thời lại nói các giao dịch quá 48 giờ thì “không thể hủy”. Sự mâu thuẫn này khá dễ bị bỏ qua vì phần quan trọng hơn nằm phía dưới: một “bản ghi giao dịch” thể hiện hôm nay bị trừ €499.99.

Điểm tinh vi là ngày giao dịch không cố định. Trang dùng JavaScript đọc đồng hồ hệ thống của nạn nhân rồi hiển thị “giao dịch xảy ra hôm nay”, khiến bất kỳ ai truy cập vào thời điểm nào cũng có cảm giác vừa bị trừ tiền sáng nay. Ngược lại, số tiền -€499.99 lại là con số cố định cho mọi người—đủ lớn để gây hoảng, nhưng không quá phi lý đối với “gói phần mềm”.

Sau đó, trang dẫn nạn nhân đi theo đúng kịch bản “hoàn tiền”:

• Chọn lý do hoàn/hủy (ví dụ: “Avast refund”, “giao dịch gian lận”, “giao dịch trùng”, …)

• Điền thông tin định danh: họ tên, email, số điện thoại, địa chỉ, thành phố, vùng/khu vực, mã bưu chính… (được ngụy trang như bước “xác thực danh tính”)

Khi bấm gửi, một hộp thoại bật lên yêu cầu Card Information: số thẻ, ngày hết hạn và CVV (3 số bảo mật). Đây chính là mục tiêu thật sự của chiến dịch. Đáng chú ý, trang còn tích hợp kiểm tra Luhn (thuật toán kiểm tra cấu trúc số thẻ) để loại số thẻ sai/nhập nhầm, giúp kẻ gian thu được dữ liệu “xài được” nhiều nhất có thể.

Về kỹ thuật gửi dữ liệu, khi người dùng xác nhận, trình duyệt sẽ POST về một endpoint (send.php) và gửi toàn bộ dữ liệu dưới dạng JSON: thông tin cá nhân + thông tin thẻ. Sau đó nạn nhân được chuyển sang trang “xác nhận đang xử lý” để trấn an. Nguy hiểm hơn, trang còn đặt một nút kiểu “gỡ Avast” nhằm thúc nạn nhân tự tắt/bỏ lớp bảo vệ trên máy—một cú đẩy cuối cùng để giảm khả năng bị cảnh báo.

Một điểm khiến chiến dịch này “ăn” hơn phishing thông thường là nó có live chat thật ở góc màn hình, dùng dịch vụ hợp pháp Tawk.to. Điều này cho phép kẻ vận hành nhìn thấy nạn nhân đang online và “đóng vai hỗ trợ” theo thời gian thực—đặc biệt hiệu quả khi nạn nhân lăn tăn trước chi tiết mâu thuẫn 72h/48h hoặc chần chừ ở bước nhập thẻ.

Malwarebytes nhận định trang lừa đảo này không chỉ nhắm một kiểu nạn nhân, mà “gom” được nhiều nhóm cùng lúc: người từng mua Avast và muốn hủy gia hạn, người có tài khoản nhưng quên, người chưa từng dùng Avast nhưng hoảng vì tưởng thẻ bị đánh cắp, thậm chí cả người nghĩ có thể “ăn” khoản hoàn €499.99—tất cả đều bị dẫn tới cùng một form, không cần đăng nhập hay chứng minh mua hàng.

Dấu hiệu nhận biết nhanh (đọc 10 giây)

• Giao dịch “xảy ra hôm nay” xuất hiện rất đúng lúc (thường được chèn tự động theo ngày máy bạn)

• Đặt deadline gấp (72 giờ, 48 giờ…) để bạn không kịp kiểm tra

• Yêu cầu nhập đầy đủ số thẻ + CVV để “hoàn tiền” (đây là red flag cực lớn)

• Không cần đăng nhập tài khoản/không cần mã license/không cần bằng chứng mua hàng

• “Hỗ trợ trực tuyến” thúc bạn hoàn tất quy trình và/hoặc gợi ý gỡ phần mềm bảo mật

Nếu lỡ nhập thông tin thẻ: làm gì ngay?

• Gọi ngân hàng/đơn vị phát hành thẻ để khóa/hủy thẻ và báo gian lận càng sớm càng tốt

• Khiếu nại các giao dịch trái phép (nếu đã phát sinh)

• Đổi mật khẩu các tài khoản liên quan tới email/số điện thoại đã cung cấp, và quét máy bằng giải pháp bảo mật uy tín