AI Crazy
New member
Một chiến dịch phishing mới mạo danh thông báo bảo mật của Google lừa người dùng cài đặt ứng dụng web độc hại. Khi được cài, công cụ này có thể đánh cắp mật khẩu, mã xác thực một lần và dữ liệu nhạy cảm khác.
Thay vì bảo vệ tài khoản, quá trình này lừa người dùng cài đặt một Progressive Web App (PWA) độc hại — thường thông qua các tên miền được tạo để giống trang thật (ví dụ: google-prism[.]com). PWAs bình thường giúp trang web hoạt động như ứng dụng; ở đây, kẻ tấn công lợi dụng cơ chế đó để triển khai phần mềm gián điệp ngay trên trình duyệt.
Sau khi cài đặt, PWA yêu cầu quyền gửi thông báo, truy cập clipboard và các chức năng trình duyệt khác, đồng thời triển khai một service worker để thực thi tác vụ nền. Điều này cho phép thu thập dữ liệu nhạy cảm như thông tin đăng nhập, mã xác thực một lần (OTP), địa chỉ ví tiền điện tử, dữ liệu clipboard, vị trí GPS và chi tiết thiết bị.
Cuộc tấn công còn có thể biến trình duyệt nạn nhân thành một proxy để chuyển hướng lưu lượng cho kẻ tấn công, giúp họ che giấu hoạt động và tiếp tục theo dõi dữ liệu từ trình duyệt bị xâm phạm.
Nguồn: Digitaltrends
Chi tiết vụ lừa đảo
Các nhà nghiên cứu tại Malwarebytes cảnh báo về một chiến dịch phishing mạo danh hệ thống bảo mật tài khoản Google. Nạn nhân được dẫn đến một trang “kiểm tra bảo mật” giả, trông rất giống trang chính thức, và được yêu cầu thực hiện bước xác minh.Thay vì bảo vệ tài khoản, quá trình này lừa người dùng cài đặt một Progressive Web App (PWA) độc hại — thường thông qua các tên miền được tạo để giống trang thật (ví dụ: google-prism[.]com). PWAs bình thường giúp trang web hoạt động như ứng dụng; ở đây, kẻ tấn công lợi dụng cơ chế đó để triển khai phần mềm gián điệp ngay trên trình duyệt.
Sau khi cài đặt, PWA yêu cầu quyền gửi thông báo, truy cập clipboard và các chức năng trình duyệt khác, đồng thời triển khai một service worker để thực thi tác vụ nền. Điều này cho phép thu thập dữ liệu nhạy cảm như thông tin đăng nhập, mã xác thực một lần (OTP), địa chỉ ví tiền điện tử, dữ liệu clipboard, vị trí GPS và chi tiết thiết bị.
Cuộc tấn công còn có thể biến trình duyệt nạn nhân thành một proxy để chuyển hướng lưu lượng cho kẻ tấn công, giúp họ che giấu hoạt động và tiếp tục theo dõi dữ liệu từ trình duyệt bị xâm phạm.
Tại sao nguy hiểm
Chiến thuật lợi dụng PWA và service worker khó bị phát hiện vì các mã độc chạy ngay trên trình duyệt, có quyền hoạt động nền và gửi/nhận dữ liệu. Việc chặn OTP, thu thập clipboard hay sử dụng trình duyệt làm proxy đều mở rộng khả năng đánh cắp thông tin và thực hiện các hành vi gian lận phức tạp.Cách phòng tránh và phản ứng khi nghi nhiễm
- Không tin các thông báo bật lên yêu cầu cài phần mềm hoặc cho quyền: Google không thực hiện kiểm tra bảo mật qua các pop-up ngẫu nhiên.
- Luôn kiểm tra địa chỉ URL trước khi nhập thông tin đăng nhập; chỉ dùng myaccount.google.com để truy cập cài đặt bảo mật chính thức.
- Không cài đặt các web app hoặc tiện ích mở rộng từ nguồn không rõ; hạn chế cho phép quyền thông báo và truy cập clipboard.
- Kích hoạt xác thực hai yếu tố (2FA) và cân nhắc dùng khóa phần cứng (security key) để tăng cường bảo vệ.
- Sử dụng trình quản lý mật khẩu để tạo và lưu mật khẩu an toàn; thay đổi mật khẩu ngay khi nghi ngờ bị lộ.
- Nếu nghi trang bị xâm nhập: gỡ bỏ PWA/sản phẩm lạ khỏi trình duyệt, xóa dữ liệu trình duyệt, thay mật khẩu, kiểm tra hoạt động đăng nhập trong tài khoản và báo cáo sự cố cho Google.
- Luôn cập nhật trình duyệt và hệ điều hành để nhận các bản vá bảo mật mới nhất.
Tin liên quan
Google đang tăng cường phòng thủ trước các mối đe dọa mới, bao gồm thử nghiệm các biện pháp chống lừa đảo dựa trên AI trong Chrome để tự động phát hiện trang web khả nghi. Người dùng cần cảnh giác và chỉ tin cậy kênh bảo mật chính thức của Google.Nguồn: Digitaltrends
Bài viết liên quan
