Lừa đảo trúng thưởng từ Google: “Trò mèo” đối với người cảnh giác, “bi kịch” cho những ai nhẹ dạ cả tin

Khi nói đến lĩnh vực bảo mật máy tính chắc hẳn hầu hết chúng ta đều nghĩ ngay tới những chiến dịch tấn công mạng nghiêm trọng, những hành vi lừa đảo trực tuyến phức tạp với khả năng gây tổn hại tài chính, mất dữ liệu và thiệt hại phần cứng, và thậm chí có thể khiến cả những doanh nghiệp lớn phải lao đao. Tuy nhiên trong bảo mật máy tính cũng không thiếu những tình huống dở khóc dở cười, những phi vụ lừa đảo tưởng như chỉ xuất hiện trong các bộ phim hài. Chẳng hạn như trường hợp mà chúng ta chuẩn bị tìm hiểu ngay bây giờ.

• [Infographic] Cách nhận biết và phòng tránh cuộc tấn công Phishing

Lừa đảo tiền thưởng

Chuyện thật như đùa! Vâng, chiến dịch lừa đảo này đã gửi đi một loạt email spam thông báo cho các nạn nhân rằng Google sẽ trao cho họ 2.5 triệu đô la tiền thưởng như một phần của chương trình tri ân những khách hàng trung thành với các dịch vụ của Google trong nhiều năm.

Bây giờ không phải là lúc để thống kê xem có ai bị lừa sau vụ việc lố bịch như thế này và gửi cho những kẻ lừa đảo thông tin cá nhân của họ (không nhiều nhưng tôi nghĩ là có), mà là thời điểm để chúng ta phân tích sâu hơn về những vụ lừa đảo tưởng chừng như “chuyện cười” này và tìm hiểu xem làm thế nào để chủ động nhận diện hiệu quả các hành vi lừa đảo trực tuyến vốn đang xuất hiện đầy rẫy trên internet từng phút, từng giây.

• Hacker khoan thủng bảo mật 2 yếu tố chỉ bằng những cuộc tấn công phishing tự động

“Powered by Google”

Trò lừa đảo này xuất hiện dưới dạng một email với dòng tiêu đề “Powered by Google” như một sự khẳng định về mức độ uy tín, nói rằng "Bạn đã được chọn là một trong những người chiến thắng giải thưởng người dùng trung thành đối với các dịch vụ của Google" (You have been selected a winner for using Google services).

Để tăng thêm tính hợp pháp, kẻ gian bổ sung thêm dòng quảng cáo rằng email này đang được gửi cho bạn bởi một Giám đốc quản lý bộ phận, thay mặt cho CEO Google, Larry Page.

• Whaling Attack là gì? Tại sao các CEO cần đặc biệt lưu tâm đến hình thức tấn công mạng này?

"Thay mặt cho CEO Larry Page"

Đi cùng với email lừa đảo này là một tệp đính kèm có tên "Official Winning Letter by Google and mastercard visa 2019.pdf”. Tệp đính kèm này, như được hiển thị ở ảnh chụp màn hình bên dưới, nói rằng bạn đã giành được giải thưởng Google Visa/MasterCard (GVMC) với tổng giá trị lên tới 2.500.000 USD!

Ở bước tiếp theo kẻ gian bắt đầu “vào vấn đề chính” khi yêu cầu nạn nhân phải điền đầy đủ và chính xác thông tin được yêu cầu và gửi lại cho chúng để nhận giải thưởng. Còn kết cục thì như chúng ta đã biết, sẽ chẳng có một đồng nào được chuyển lại, trong khi những thông tin cá nhân cực kỳ quan trọng của bạn như thông tin tài khoản ngân hàng, thẻ tín dụng, số điện thoại và thậm chí là cả tài khoản, mật khẩu đã rơi vào tay kẻ gian.

• [Infographic] 4 loại Phishing dễ khiến người dùng mắc bẫy

Phần đính kèm của email lừa đảo

Đặc biệt có một chi tiết mà chúng ta thường bắt gặp trên hầu hết các email lừa đảo nói chung, đó là lời cảnh báo phải giữ bí mật hoàn toàn đối với thông tin mà bạn nhận được. Như trong trường hợp này, kẻ gian yêu cầu nạn nhân “giữ kín thông tin giải thưởng cho mục đích bảo mật và tránh các hành vi lạm dụng khác”. Tuy nhiên mục đích thực sự của những yêu cầu dạng này chẳng có gì cao siêu, đơn giản chỉ là không để nạn nhân tiết lộ thông tin cho những người tỉnh táo hơn, dẫn đến hành vi lừa đảo bị bại lộ. Do đó, đây cũng là một đặc điểm thường gặp trong mọi hành vi lừa đảo nói chung mà bạn cần lưu ý.

• Cách tự bảo vệ khỏi các cuộc tấn công phishing qua điện thoại di động

Giữ cho môi trường xanh - sạch - đẹp

Nhìn xuống cuối email lừa đảo, bạn sẽ thấy thêm một thông tin khá hài hước.

Cụ thể, ở phần cuối của tệp đính kèm, kẻ lừa đảo yêu cầu bạn "Vui lòng cân nhắc kỹ tác hại liên quan đến môi trường trước khi quyết định in email này!” (Please consider the environment before printing!)

"Vui lòng cân nhắc kỹ tác hại liên quan đến môi trường trước khi quyết định in email này!"

Thực ra chúng chẳng quan tâm đến môi trường lắm đâu, mà mục đích sau cùng vẫn là ngăn việc nạn nhân để lộ email này cho những người “tỉnh táo hơn”, khiến hành vi lừa đảo của chúng bị phát giác. Nhưng thôi, chúng ta đều là những người yêu thiên nhiên, có ý thức bảo vệ một trường sống nên tôi đánh giá cao “đề xuất” thiết thực này của nhóm lừa đảo!

• 4 kiểu tấn công mạng phổ biến nhất hướng tới những người lớn tuổi

Biện pháp ứng phó

Tổng kết lại vấn đề. Có thể những hình thức lừa đảo theo dạng trúng thưởng kiểu này vốn không có gì là mới mẻ và tương đối dễ “bắt bài”, tuy nhiên nó vẫn đánh lừa được không ít những người thiếu kiến thức bảo mật, nhẹ dạ cả tin, và đặc biệt là tham lam.

Khi gặp phải những email dạng này, có 3 việc bạn cần làm. Thứ nhất, tuyệt đối không mở tệp đính kèm trong email. Thứ 2, không trả lời email cũng như cung cấp bất cứ thông tin nào theo yêu cầu của kẻ lừa đảo. Và cuối cùng, hãy hỏi ý kiến những người xung quanh nến bạn vẫn còn cảm thấy “lăn tăn”.

Chúc các bạn luôn thật tỉnh táo khi tham gia vào thế giới internet đầy phức tạp này!