Tôi phải thừa nhận điều này. Tôi đủ tuổi để nhớ khi những chiếc điện thoại duy nhất chúng tôi có là điện thoại cố định. Không có mạng di động và để gọi điện ở Thành phố New York, bạn phải quay (thực sự quay) một số điện thoại như Murray Hill (MH) 9-5000. Mặc dù điện thoại thông minh đã có trước iPhone, nhưng thế giới đã không thay đổi cho đến khi Steve Jobs quá cố giơ cao chiếc iPhone vào ngày 9 tháng 1 năm 2007. Dù Jobs đã rất hào hứng về triển vọng của iPhone, tôi tự hỏi liệu một người đàn ông có tầm nhìn xa như ông có thể nắm bắt được những gì ông sắp giải phóng cho thế giới hay không.

Không phải tất cả những thay đổi mà iPhone và sau đó là điện thoại Android mang lại cho chúng ta đều tốt. Ví dụ, giờ đây chúng ta phải lo lắng về các email lừa đảo, tin nhắn smishing và các trò gian lận khác tập trung vào việc sử dụng điện thoại thông minh và lừa đảo người dùng điện thoại thông minh. Cảnh báo mới nhất đến từ một nhà phát triển phần mềm về một trò lừa đảo phishing “tinh vi” tấn công người dùng Gmail.

Một trò lừa đảo phishing xảo quyệt đến mức sử dụng chính cơ sở hạ tầng của Google để lừa đảo bạn

Nhà phát triển phần mềm Nick Johnson đã cảnh báo những người khác trên “X” về một trò lừa đảo phishing xảo quyệt đến mức nó sử dụng cơ sở hạ tầng của Google để khiến nó trông hợp pháp. Johnson suýt chút nữa đã trở thành nạn nhân của cuộc tấn công này như ông đã lưu ý trong tweet của mình. “Gần đây tôi đã bị nhắm mục tiêu bởi một cuộc tấn công phishing cực kỳ tinh vi, và tôi muốn nhấn mạnh nó ở đây. Nó khai thác một lỗ hổng trong cơ sở hạ tầng của Google và do họ từ chối khắc phục nó, chúng ta có khả năng sẽ thấy nó nhiều hơn.”

Tweet của ông bao gồm một hình ảnh của email mà ông nhận được, trong đó nói rằng Google LLC đã nhận được trát đòi hầu tòa từ một cơ quan thực thi pháp luật yêu cầu thông tin chứa trong tài khoản Google của ông. Chúng tôi không cần phải nói cho bạn biết loại thông tin cá nhân nào có thể bị tiết lộ nếu bạn giao thông tin này cho một kẻ lừa đảo. Nhưng vấn đề lớn ở đây là như Johnson chỉ ra trong một tweet tiếp theo, email mà ông nhận được là một email hợp lệ, đã ký, được gửi từ no-reply@google.com.

Trong một tuyên bố, Google cho biết: “Chúng tôi nhận thức được loại hình tấn công có mục tiêu này từ tác nhân đe dọa này và đã triển khai các biện pháp bảo vệ để chặn đứng con đường lạm dụng này. Trong khi đó, chúng tôi khuyến khích người dùng áp dụng xác thực hai yếu tố và khóa truy cập, cung cấp khả năng bảo vệ mạnh mẽ chống lại các loại chiến dịch phishing này.”

Chữ ký vượt qua các kiểm tra chữ ký và trên Gmail, nó được hiển thị mà không có bất kỳ cảnh báo nào. Theo Johnson, “Nó thậm chí còn đặt nó vào cùng một cuộc hội thoại với các cảnh báo bảo mật hợp pháp khác.” Có một sự khác biệt mà bạn có thể tìm kiếm để nhận biết rằng email đó là lừa đảo. Email giả mạo được lưu trữ trên “sites.google.com.” Nếu hợp pháp, email sẽ được lưu trữ trên “accounts.google.com.”

Đây là một điều bạn có thể làm để ngăn chặn việc đánh cắp mã 2FA qua tin nhắn của bạn

Chúng tôi không khuyên bạn nhấp vào email đó. Nếu bạn bỏ qua lời khuyên đó, bạn sẽ được chuyển đến một cổng hỗ trợ giả mạo sử dụng các trang đăng nhập Google được thiết kế hoàn hảo. Trang này được tạo ra để lừa người dùng giao thông tin đăng nhập và thông tin cá nhân như mật khẩu, số an sinh xã hội, tài khoản ngân hàng và các dữ liệu khác. Thông tin này có thể được sử dụng để “xóa sổ” các tài khoản tài chính của bạn.

Bạn có thể tự bảo vệ mình khỏi việc trở thành một con số thống kê bằng cách không sử dụng mật khẩu để mở tài khoản Gmail của bạn ngay cả khi bạn sử dụng xác thực hai yếu tố (2FA). Thực tế, với 2FA dựa trên văn bản, có vẻ như người dùng đang bị lừa giao tên người dùng và mật khẩu của họ, cho phép những kẻ trộm này sử dụng mật khẩu bị đánh cắp để đánh cắp mã 2FA khi chúng được gửi đến nạn nhân. Để ngăn chặn điều đó xảy ra, bạn nên sử dụng khóa truy cập thay vì mật khẩu cho tài khoản email của mình.

Khóa truy cập sử dụng một khóa riêng được lưu trữ trên thiết bị của nạn nhân tiềm năng. Với khóa truy cập, miễn là bạn có điện thoại trong tay, bạn không phải lo lắng về việc bị đánh cắp mã 2FA.

Như thường lệ, lời khuyên tốt nhất là không trả lời bất kỳ tin nhắn hoặc email nào trong số này ngay cả khi chúng tuyên bố là từ cơ quan thực thi pháp luật hoặc cơ quan chính phủ. Nếu chúng tiếp tục gửi cho bạn cùng một tin nhắn nhiều lần, hãy lấy một số điện thoại hợp pháp và gọi điện để tìm hiểu xem các email hoặc tin nhắn bạn đang nhận có hợp pháp hay không. Một lần nữa, không trả lời qua tin nhắn hoặc email.