Một chiến dịch phishing được đánh giá là “cực kỳ tinh vi” vừa bị phát hiện khi kẻ tấn công sử dụng hạ tầng hợp pháp của Google để gửi email giả mạo, dẫn dụ người dùng đến các trang web lừa đảo nhằm chiếm đoạt thông tin đăng nhập.
Trong chiến dịch này, các email giả mạo được gửi từ địa chỉ no-reply@google.com – địa chỉ vốn được sử dụng trong các cảnh báo bảo mật thực sự của Google – và vượt qua toàn bộ các lớp xác thực email như DKIM, SPF và DMARC. Điều này khiến hệ thống lọc thư và cả người nhận đều không có bất kỳ dấu hiệu nào để nghi ngờ tính hợp lệ của nội dung.
Nội dung email đề cập đến một trát lệnh từ cơ quan thực thi pháp luật, yêu cầu truy cập thông tin trong tài khoản Google của người dùng. Kèm theo đó là một đường dẫn đến Google Sites, nơi hiển thị một giao diện gần như sao chép hoàn toàn từ trang Google Support chính thức. Các tùy chọn như “xem hồ sơ vụ việc” hay “tải tài liệu bổ sung” đều dẫn đến một trang đăng nhập Google giả mạo được dựng khéo léo nhằm thu thập thông tin xác thực từ nạn nhân.
Điểm đặc biệt khiến chiến dịch này qua mặt được các biện pháp bảo vệ hiện tại nằm ở cách tin tặc khai thác cơ chế gửi thông báo bảo mật nội bộ của Google. Cụ thể, kẻ tấn công tạo một tài khoản Google và phát triển một ứng dụng OAuth chứa nội dung giả mạo. Khi cấp quyền cho ứng dụng, Google sẽ tự động gửi một email cảnh báo bảo mật đến chính tài khoản này.
Vì email được phát ra từ hệ thống Google, nó được ký bằng khóa DKIM hợp lệ và vượt qua mọi bước kiểm tra xác thực. Sau đó, tin tặc chỉ cần chuyển tiếp lại email đó – giữ nguyên DKIM – thông qua các dịch vụ trung gian như Jellyfish SMTP và PrivateEmail. Kết quả: một email tưởng chừng “chính chủ” sẽ xuất hiện trong hộp thư của nạn nhân, không có bất kỳ cảnh báo nào từ Gmail.
Chiến thuật này khai thác triệt để một sản phẩm cũ của Google – Google Sites – vốn cho phép người dùng nhúng nội dung tuỳ ý lên một tên miền con của Google. Việc lạm dụng Google Sites để lưu trữ giao diện giả mạo không chỉ làm tăng mức độ tin cậy của trang lừa đảo, mà còn khiến quá trình phát hiện và gỡ bỏ gặp nhiều khó khăn, đặc biệt khi nền tảng này không hỗ trợ báo cáo lạm dụng trực tiếp.
Google cho biết họ đã triển khai các biện pháp kỹ thuật nhằm ngăn chặn con đường khai thác này và nhấn mạnh rằng công ty không bao giờ yêu cầu người dùng cung cấp mật khẩu, mã OTP hoặc các thông tin xác thực qua email. Google cũng khuyến cáo mạnh mẽ người dùng nên bật xác thực hai bước (2FA) hoặc sử dụng passkeys nhằm nâng cao lớp phòng vệ trước các chiến dịch lừa đảo ngày càng tinh vi.
Chiến dịch trên chỉ là một phần trong xu hướng gia tăng đáng báo động các hình thức lừa đảo trực tuyến trong năm 2025. Một kỹ thuật khác cũng đang được ghi nhận là việc đính kèm các tệp SVG – định dạng đồ họa có khả năng nhúng mã HTML và JavaScript – nhằm chuyển hướng người dùng đến các trang giả mạo của Microsoft hoặc Google Voice. Theo thống kê từ Kaspersky, hơn 4.100 email có đính kèm tệp SVG độc hại đã bị phát hiện chỉ trong vài tháng đầu năm nay.
