Tội phạm mạng lợi dụng Google AppSheet (dịch vụ hợp pháp của Google) để gửi email lừa đảo từ địa chỉ @appsheet.com, dễ dàng vượt qua các cơ chế kiểm tra bảo mật (SPF, DKIM, DMARC) và khiến email trông như thật.

Nội dung email giả mạo thông báo vi phạm bản quyền, dọa khóa tài khoản Facebook trong 24 giờ, kèm nút "Submit an Appeal" (gửi kháng nghị). Khi nhấn vào, nạn nhân bị dẫn đến trang đăng nhập Facebook giả mạo, được lưu trữ trên nền tảng uy tín Vercel, càng làm tăng độ tin cậy.

Đặc biệt, chiêu trò này còn "báo sai mật khẩu" lần đầu để nạn nhân tự nhập lại, xác minh thông tin. Ngay khi đó, hacker thu thập toàn bộ thông tin đăng nhập, mã xác thực 2FA rồi lập tức chiếm quyền truy cập.

Các chuyên gia cho biết, điều nguy hiểm là hacker còn đánh cắp session token (mã token của phiên đăng nhập), giúp duy trì quyền truy cập ngay cả khi người dùng đã đổi mật khẩu.

Để tránh mất tài khoản Facebook bởi chiêu trò tinh vi này, người dùng được khuyến cáo:

Tuyệt đối không nhấp vào các link kháng nghị trong email lạ

Luôn kiểm tra kỹ địa chỉ trang web trước khi đăng nhập

Kích hoạt cảnh báo bảo mật bổ sung trên Facebook và các nền tảng mạng xã hội

Khi phát hiện nghi vấn, đổi mật khẩu ngay và báo cáo tới Facebook.

Bkav