Thực hư việc nhận tích xanh Facebook miễn phí

Theo báo cáo mới của Guard.io, một chiến dịch lừa đảo có tên AccountDumpling đã tấn công khoảng 30.000 tài khoản, trong đó nhiều nạn nhân là quản trị viên fanpage và người điều hành trang.

Nhà nghiên cứu bảo mật Shaked Chen (Guard.io) cho biết các email này sử dụng nhiều kịch bản khác nhau, từ cảnh báo tài khoản sắp bị vô hiệu hóa, khiếu nại bản quyền cho đến lời mời nhận tích xanh Facebook miễn phí.

Điểm chung của các email nói trên là đều dẫn nạn nhân đến những trang giả mạo, yêu cầu điền thông tin đăng nhập, mật khẩu và mã xác thực hai yếu tố. Khi người dùng làm theo, kẻ gian có thể chiếm quyền tài khoản và tiếp tục khai thác các fanpage, tài khoản quảng cáo hoặc dữ liệu liên quan.

Email giả mạo nhằm chiếm đoạt tài khoản Facebook. Ảnh: Guard.io

Email lừa đảo được gửi qua Google AppSheet

Theo Guard.io, nhóm đứng sau AccountDumpling đã lợi dụng Google AppSheet, nền tảng của Google dùng để tự động hóa quy trình và gửi thông báo, để phát tán email lừa đảo trên diện rộng.

Cách làm này khiến email trông đáng tin hơn vì được gửi qua hạ tầng của Google, thay vì từ những địa chỉ lạ dễ bị nhận diện là giả mạo. Tuy nhiên, Shaked Chen lưu ý rằng một email được xác thực đầy đủ không có nghĩa nội dung bên trong là an toàn.

Ngoài các email dọa khóa tài khoản hoặc cảnh báo vi phạm bản quyền, nhóm tấn công còn dùng chiêu mời nhận tích xanh Facebook miễn phí. Đây là mồi nhử dễ đánh trúng tâm lý của những người đang quản lý fanpage, bán hàng hoặc xây dựng thương hiệu cá nhân trên nền tảng này.

Email giả mạo hứa hẹn người dùng có thể nhận tích xanh mà không cần đăng ký Meta Verified. Nạn nhân chỉ cần bấm vào liên kết, vượt qua vài bước xác minh và điền thông tin theo yêu cầu.

Theo Guard.io, chiến dịch này được chuẩn bị khá kỹ. Kẻ tấn công dùng ký tự Unicode ẩn để làm tên người gửi khó bị phát hiện, chia nhỏ nội dung email nhằm né các công cụ quét ngữ cảnh, thậm chí dùng ký tự Cyrillic có hình dạng giống chữ Latin trong phần chân trang giả mạo thương hiệu Meta.

Vì sao quản trị viên fanpage dễ trở thành mục tiêu

Với tội phạm mạng, các tài khoản Facebook có quyền quản trị fanpage thường có giá trị hơn tài khoản cá nhân thông thường. Nếu chiếm được những tài khoản này, kẻ gian có thể kiểm soát trang, phát tán nội dung lừa đảo, chạy quảng cáo trái phép hoặc bán lại quyền truy cập.

Đây là lý do các email giả mạo thường đánh vào nỗi lo mất trang, bị khóa tài khoản hoặc bị xử lý vì vi phạm bản quyền. Khi nhận được thông báo có vẻ nghiêm trọng, nhiều người có xu hướng bấm vào liên kết ngay để xử lý, thay vì kiểm tra lại trong Facebook hoặc Meta Business Suite.

Người dùng Facebook nên xóa ngay các email cấp tích xanh miễn phí.

Người dùng cần lưu ý rằng Meta không yêu cầu nhập mật khẩu Facebook và mã xác thực hai yếu tố thông qua các biểu mẫu lạ gửi bằng email. Với các thông báo liên quan đến tài khoản, fanpage hoặc quảng cáo, cách an toàn nhất là mở trực tiếp Facebook, Meta Business Suite hoặc Trung tâm trợ giúp của Meta để kiểm tra.

Nếu đã lỡ nhập thông tin vào một trang nghi ngờ giả mạo, người dùng nên đổi mật khẩu ngay, đăng xuất khỏi các thiết bị lạ, kiểm tra lại quyền quản trị fanpage và rà soát các phương thức thanh toán đang liên kết với tài khoản quảng cáo.

Tiểu Minh