Các tác nhân đe dọa đang ngày càng gia tăng các cuộc tấn công phức tạp, giả mạo nhân viên hỗ trợ của Google để lợi dụng các công cụ khôi phục tài khoản và đánh cắp thông tin đăng nhập trái phép của người dùng. Đây là một biến thể của kỹ thuật social engineering cần được cảnh giác trong bối cảnh an ninh mạng ngày càng phức tạp.

Kỹ Thuật Social Engineering Thông Qua Điện Thoại (Vishing)

Các chiến dịch này tận dụng các kênh liên lạc trông có vẻ hợp pháp, chẳng hạn như số điện thoại giả mạo liên kết với thông tin liên hệ chính thức của Google. Mục tiêu là xây dựng độ tin cậy và thao túng nạn nhân chấp thuận các lời nhắc khôi phục gian lận. Đây là một kỹ thuật social engineering đã được cải tiến.

Một sự cố gần đây đã làm nổi bật chiến thuật này: một cá nhân báo cáo đã nhận được các cuộc gọi không mong muốn từ số +1 (650) 253-0000. Đây là số được công bố rộng rãi, liên quan đến trụ sở chính của Google tại Mountain View, California.

Người gọi, với giọng điệu thuyết phục bắt chước nhân viên hỗ trợ tại Hoa Kỳ, tuyên bố đang phản hồi các nỗ lực truy cập trái phép được phát hiện. Các địa điểm được nhắc đến bao gồm Pháp và Anh.

Bằng cách đóng khung cuộc tương tác như một biện pháp bảo mật chủ động, kẻ tấn công đã cố gắng ép buộc nạn nhân chấp nhận lời nhắc khôi phục tài khoản theo thời gian thực. Điều này về cơ bản sẽ trao quyền kiểm soát tài khoản cho chúng, một mục tiêu chính của kỹ thuật social engineering.

Khai Thác Luồng Xác Thực và Phục Hồi Tài Khoản

Phương pháp này khai thác các quy trình xác thực hai yếu tố (2FA) và khôi phục tài khoản hợp pháp của Google. Trong đó, các lời nhắc được gửi đến các thiết bị hoặc số điện thoại liên kết để xác minh danh tính.

Tuy nhiên, trong các vụ lừa đảo này, lời nhắc được kẻ tấn công tự khởi tạo trong quá trình gọi điện, bỏ qua các quy trình do người dùng bắt đầu tiêu chuẩn. Điều này cho thấy sự tinh vi trong kỹ thuật social engineering của chúng.

Phân tích kỹ thuật cho thấy các hoạt động này thường liên quan đến các công cụ giả mạo số điện thoại qua VoIP (Voice over IP). Chúng được kết hợp với các kịch bản social engineering được thiết kế để tạo ra sự khẩn cấp và lòng tin.

Các nạn nhân chấp thuận những lời nhắc này có nguy cơ bị chiếm quyền điều khiển tài khoản ngay lập tức. Điều này cho phép kẻ tấn công thay đổi mật khẩu, khóa quyền truy cập của chủ sở hữu hợp pháp. Chúng cũng có thể truy cập các dịch vụ liên kết như Gmail, Google Drive, hoặc thậm chí các tích hợp tài chính qua Google Pay.

Phân Tích Vectơ Tấn Công và Tâm Lý Nạn Nhân

Đi sâu hơn vào vectơ tấn công, các kế hoạch mạo danh này đại diện cho sự phát triển của các chiến thuật lừa đảo (phishing). Chúng kết hợp vishing (lừa đảo qua điện thoại) với việc khai thác các luồng khôi phục giống OAuth trong hệ sinh thái của Google. Đây là một biến thể nguy hiểm của kỹ thuật social engineering.

Kẻ tấn công thường bắt đầu bằng hoạt động trinh sát, thu thập dữ liệu nạn nhân từ các cơ sở dữ liệu bị lộ hoặc rò rỉ công khai. Mục đích là để tham chiếu các hoạt động đáng ngờ trước đó, chẳng hạn như nỗ lực khôi phục từ các địa chỉ IP nước ngoài, nhằm tăng tính xác thực cho câu chuyện của chúng.

Trong trường hợp được báo cáo, kẻ lừa đảo đã khuyến khích nạn nhân xác minh số điện thoại thông qua tìm kiếm trực tuyến nhanh. Chúng khai thác thực tế là số đó khớp với đường dây liên hệ đã công bố của Google, mặc dù số này chỉ dẫn đến các hệ thống tự động mà không có nhân viên trực tiếp.

Chiêu đánh lừa này là một mánh khóe tâm lý phổ biến, lợi dụng sự thiên vị xác nhận và giả định rằng các kênh chính thức đồng nghĩa với tính hợp pháp.

Khi cuộc gọi được kết nối, kẻ tấn công yêu cầu xác nhận một lời nhắc đã gửi. Nếu được chấp nhận, điều này cấp cho chúng quyền truy cập phiên mà không cần mật khẩu hoặc mã 2FA trực tiếp. Đây là một ví dụ điển hình về kỹ thuật social engineering tinh vi.

Từ góc độ an ninh mạng, điều này làm nổi bật những lỗ hổng trong việc chỉ dựa vào xác minh dựa trên lời nhắc mà không có nhận thức theo ngữ cảnh. Các hệ thống của Google không tự phân biệt giữa các yêu cầu do người dùng khởi tạo và các yêu cầu do kẻ tấn công kích hoạt trong các tương tác thời gian thực.

Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng

Để chống lại các mối đe dọa này, người dùng nên kích hoạt các tính năng bảo mật nâng cao. Điển hình là Chương trình Bảo vệ Nâng cao của Google (Google’s Advanced Protection Program), yêu cầu khóa bảo mật phần cứng cho các tài khoản có rủi ro cao và hạn chế các tùy chọn khôi phục. Người dùng có thể tìm hiểu thêm về chương trình này tại: https://landing.google.com/advancedprotection/.

Việc triển khai passkeys hoặc các ứng dụng xác thực thay vì SMS có thể giảm thiểu rủi ro bị chặn. Đồng thời, thường xuyên kiểm tra nhật ký hoạt động tài khoản thông qua bảng điều khiển bảo mật của Google cho phép phát hiện sớm các bất thường, chẳng hạn như không khớp vị trí địa lý hoặc thiết bị không được nhận dạng.

Quan trọng hơn, việc tuân thủ nguyên tắc rằng các tổ chức hợp pháp như Google không bao giờ chủ động gọi điện để xác minh bảo mật là điều tối quan trọng. Bất kỳ liên hệ nào như vậy đều phải được coi là có tính chất tấn công. Đây là kiến thức cốt lõi để chống lại kỹ thuật social engineering.

Đối với các tổ chức, việc tích hợp nguồn cấp dữ liệu tình báo đe dọa theo dõi các mẫu vishing mới nổi. Kết hợp với việc đào tạo nhân viên về các dấu hiệu cảnh báo của social engineering, có thể giảm thiểu rủi ro trên toàn doanh nghiệp.

Về bản chất, những cuộc tấn công này khai thác lòng tin vào các giao thức đã được thiết lập. Điều này nhấn mạnh sự cần thiết của tư duy không tin cậy (zero-trust mindset) trong vệ sinh kỹ thuật số cá nhân. Bằng cách lập danh mục và phổ biến thông tin chi tiết về các sự cố như vậy, cộng đồng an ninh mạng có thể nâng cao khả năng phòng thủ tập thể chống lại các hoạt động đánh cắp thông tin đăng nhập tinh vi này. Hiểu rõ về kỹ thuật social engineering là chìa khóa để bảo vệ bản thân và tổ chức.