Hiện nay, với hơn 5.4 tỷ người dùng mạng xã hội trên toàn cầu, Facebook vẫn là một kênh tiếp thị quan trọng cho các doanh nghiệp ở mọi quy mô. Tuy nhiên, phạm vi tiếp cận rộng lớn và trạng thái thương hiệu đáng tin cậy này cũng biến Facebook thành mục tiêu hấp dẫn cho các tác nhân đe dọa tinh vi, tìm cách khai thác niềm tin của người dùng vào nền tảng này thông qua các **chiến dịch lừa đảo**.

Các nhà nghiên cứu bảo mật tại Check Point đã phát hiện một chiến dịch lừa đảo quy mô lớn. Chiến dịch này vũ khí hóa chính cơ sở hạ tầng Meta Business Suite của Facebook để phân phối các thông báo giả mạo, rất thuyết phục. Chiến dịch đã gửi hơn 40.000 email lừa đảo tới hơn 5.000 khách hàng tại Hoa Kỳ, Châu Âu, Canada và Úc. Đối tượng chính là các ngành công nghiệp phụ thuộc nhiều vào quảng cáo Facebook, bao gồm ô tô, giáo dục, bất động sản, khách sạn và tài chính. Chi tiết về phát hiện này đã được Check Point công bố.

Kỹ Thuật Khai Thác Nền Tảng Trong **Chiến Dịch Lừa Đảo**

Khai Thác Tính Năng Của Meta Business Suite

Chiến dịch này hoạt động thông qua một cơ chế đơn giản nhưng hiệu quả cao. Các tác nhân đe dọa tạo ra các trang Facebook Business giả mạo. Các trang này được gắn thương hiệu với logo và tên của Meta trông rất thật.

Sau đó, chúng lạm dụng tính năng mời kinh doanh của nền tảng để phân phối email lừa đảo. Những email này có vẻ như được gửi từ facebookmail.com, một miền hợp pháp của Meta. Đây là yếu tố quan trọng giúp email trở nên thuyết phục hơn nhiều so với các nỗ lực lừa đảo truyền thống. Chúng bỏ qua các kiểm tra danh tiếng miền mà nhiều hệ thống bảo mật email dựa vào.

Nội Dung Email Lừa Đảo và Trang Đích

Các email độc hại bắt chước thông báo thật của Facebook với các dòng tiêu đề khẩn cấp như “Action Required: You’re Invited to Join the Free Advertising Credit Program” (Yêu cầu hành động: Bạn được mời tham gia Chương trình Tín dụng Quảng cáo Miễn phí) hoặc “Account Verification Required” (Yêu cầu xác minh tài khoản). Các kiểu tấn công tương tự vào Facebook đã được ghi nhận trước đây.

Mỗi tin nhắn đều chứa một liên kết được tạo ra cẩn thận. Liên kết này chuyển hướng nạn nhân đến các trang web lừa đảo được lưu trữ trên các miền như vercel.app. Những trang này được thiết kế để thu thập thông tin đăng nhập và thông tin kinh doanh nhạy cảm.

Phân Tích Kỹ Thuật và Phạm Vi Ảnh Hưởng

Thực Nghiệm Xác Nhận của Check Point

Các nhà nghiên cứu của Check Point đã xác thực phương pháp tấn công này bằng cách tiến hành một thử nghiệm có kiểm soát. Họ tạo một trang kinh doanh giả với logo kiểu Facebook, nhúng nội dung độc hại vào tên trang.

Sau đó, họ sử dụng cơ chế mời hợp pháp của nền tảng để phân phối tin nhắn thử nghiệm. Thử nghiệm này đã chứng minh thành công mức độ dễ dàng mà các tính năng của Business Suite có thể bị vũ khí hóa.

Thống Kê và Đối Tượng Mục Tiêu

Dữ liệu đo từ xa cho thấy, mặc dù hầu hết các tổ chức bị ảnh hưởng nhận được ít hơn 300 email. Tuy nhiên, một công ty đã bị tấn công với hơn 4.200 tin nhắn. Điều này cho thấy đây là một chiến dịch hàng loạt dựa trên mẫu, thay vì tấn công spear-phishing tập trung.

Các mục tiêu chủ yếu là các doanh nghiệp nhỏ và vừa (SMBs). Các doanh nghiệp này thường xuyên nhận được thông báo hợp pháp từ Meta Business. Meta Business đã từng gặp phải các vấn đề liên quan đến bảo vệ quyền riêng tư. Do đó, họ có nhiều khả năng tin tưởng vào những tin nhắn như vậy. Chiến lược nhắm mục tiêu này tỏ ra đặc biệt hiệu quả. Các nhân viên tại những tổ chức này có lý do chính đáng để mong đợi và tương tác với các thông tin liên lạc này.

Thách Thức và Biện Pháp Phòng Ngừa

Thách Thức Đối Với Hệ Thống Bảo Mật Email

Chiến dịch này nhấn mạnh một sự phát triển đáng lo ngại trong các chiến thuật lừa đảo. Thay vì chỉ dựa vào giả mạo miền, những kẻ tấn công hiện khai thác các tính năng tích hợp của các nền tảng đáng tin cậy. Mục đích là để có được sự tin cậy tức thì và bỏ qua các kiểm soát bảo mật truyền thống.

Việc sử dụng miền gửi thư xác thực đặt ra một thách thức cơ bản đối với các hệ thống bảo mật email thông thường. Các hệ thống này ưu tiên danh tiếng miền làm cơ chế xác thực chính. Phương pháp này đặt ra một rủi ro bảo mật đáng kể cho các tổ chức.

Khuyến Nghị Bảo Mật cho Doanh Nghiệp

Các tổ chức có thể giảm thiểu nguy cơ thông qua một số bước quan trọng để nâng cao an toàn thông tin:

• Đào tạo nâng cao nhận thức bảo mật cho người dùng: Nhấn mạnh việc đặt câu hỏi về các yêu cầu bất thường, ngay cả từ các nguồn đáng tin cậy.
• Triển khai các giải pháp bảo mật email tiên tiến: Sử dụng phân tích hành vi và phát hiện dựa trên AI.
• Thực thi xác thực đa yếu tố (MFA): Ngăn chặn truy cập trái phép ngay cả khi thông tin đăng nhập bị xâm phạm. Các nhà cung cấp lớn như Microsoft đã yêu cầu MFA trên các dịch vụ quan trọng.

Hướng Dẫn Xác Minh Người Gửi

Người dùng nên thực hiện các biện pháp sau để bảo vệ mình khỏi mối đe dọa mạng này:

• Xác minh tính xác thực của người gửi: Không chỉ nhìn vào tên hiển thị mà kiểm tra kỹ địa chỉ email đầy đủ.
• Kiểm tra sự không khớp miền: Đảm bảo rằng miền trong liên kết đích khớp với miền chính thức của Meta.
• Truy cập tài khoản Meta Business trực tiếp: Thay vì nhấp vào các liên kết trong email, hãy truy cập trực tiếp qua các kênh chính thức (ví dụ: gõ địa chỉ vào trình duyệt).

Giải Pháp Từ Check Point

Check Point đã nâng cấp giải pháp SmartPhish của mình để phát hiện và chặn các nỗ lực lừa đảo theo chủ đề Meta. Các giải pháp này tận dụng các miền đáng tin cậy. Giải pháp này kết hợp giám sát liên tục và phân tích dựa trên AI để phát hiện sớm hơn các mối đe dọa này.