Quyền truy cập tài khoản của bạn cần được xác nhận lại qua email lừa đảo

Các chiến dịch lừa đảo trực tuyến vẫn là một trong những mối đe dọa trực tuyến dai dẳng và gây thiệt hại nhất. Chúng lợi dụng lòng tin của con người hơn là lỗi kỹ thuật, lừa người dùng tự nguyện cung cấp thông tin nhạy cảm. Một trong những chiêu trò phổ biến như vậy là email lừa đảo "Quyền truy cập tài khoản của bạn cần được xác nhận lại", ngụy trang dưới dạng một biện pháp bảo mật tài khoản khẩn cấp nhưng thực chất được thiết kế để thu thập thông tin đăng nhập của nạn nhân.

Những lời hứa sai sự thật về 'Xác nhận lại tài khoản'

Email lừa đảo thường có tiêu đề như "VUI LÒNG XÁC NHẬN LẠI QUYỀN TRUY CẬP" (mặc dù cách diễn đạt có thể khác nhau). Email này tuyên bố rằng tài khoản email của người nhận cần được xác nhận lại do phát hiện có khoảng thời gian không hoạt động. Email này trình bày đây là một phần của "bảo trì định kỳ" nhằm đảm bảo an toàn cho tài khoản. Thực tế, những tuyên bố này hoàn toàn bịa đặt.

Điều quan trọng là những email này không liên quan đến bất kỳ công ty, tổ chức hoặc nhà cung cấp dịch vụ hợp pháp nào. Chúng là một phần của hoạt động lừa đảo được thiết kế chỉ nhằm mục đích xâm phạm dữ liệu cá nhân và tài chính.

Cách thức lừa đảo diễn ra đằng sau hậu trường

Người nhận sẽ được chuyển hướng đến một trang web lừa đảo giả mạo trang đăng nhập email thật. Mọi thông tin đăng nhập được nhập sẽ tự động được gửi đến tội phạm mạng. Với quyền truy cập này, kẻ tấn công không chỉ có thể chiếm đoạt tài khoản email mục tiêu mà còn khai thác các nền tảng được kết nối. Chỉ một hộp thư bị xâm phạm cũng có thể trở thành cửa ngõ cho gian lận tài chính, đánh cắp danh tính và thậm chí là phát tán phần mềm độc hại.

Tại sao thông tin bị đánh cắp lại nguy hiểm đến vậy

Một khi thông tin đăng nhập bị đánh cắp, kẻ lừa đảo có nhiều cách để lợi dụng chúng. Một số tình huống lạm dụng phổ biến bao gồm:

• Chiếm đoạt tài khoản trên mạng xã hội, nền tảng thương mại điện tử, ứng dụng nhắn tin và dịch vụ ngân hàng trực tuyến.
• Thực hiện các giao dịch mua bán gian lận hoặc giao dịch trái phép thông qua tài khoản tài chính bị chiếm đoạt.
• Mạo danh nạn nhân để yêu cầu bạn bè, đồng nghiệp hoặc người theo dõi cho vay hoặc quyên góp.
• Phát tán phần mềm độc hại bằng cách chia sẻ tệp đính kèm hoặc liên kết độc hại từ tài khoản bị xâm phạm.

Các loại dữ liệu mà tội phạm mạng nhắm mục tiêu nhiều nhất

Các chiến dịch lừa đảo như thế này nhằm mục đích thu thập:

• Thông tin đăng nhập tài khoản (tên người dùng, mật khẩu).
• Thông tin nhận dạng cá nhân (tên, địa chỉ, số điện thoại).

• Dữ liệu tài chính (chi tiết thẻ tín dụng, thông tin ngân hàng trực tuyến, quyền truy cập ví điện tử).

Thông tin này rất có giá trị để thực hiện hành vi gian lận, đánh cắp danh tính hoặc bán trên thị trường chợ đen.

Rủi ro phần mềm độc hại phát tán qua thư rác

Ngoài việc đánh cắp thông tin đăng nhập, các chiến dịch thư rác còn đóng vai trò là phương tiện phát tán phần mềm độc hại. Các tệp độc hại thường được đính kèm trực tiếp vào email hoặc được cung cấp dưới dạng liên kết tải xuống. Chúng có thể xuất hiện ở các định dạng như:

• Lưu trữ (ZIP, RAR).
• Các tệp thực thi (.exe, .run).
• Tài liệu (PDF, Microsoft Office, Microsoft OneNote).
• Các tập lệnh (JavaScript, tập tin hàng loạt).

Trong nhiều trường hợp, chỉ cần mở tệp là đã cài đặt phần mềm độc hại. Những trường hợp khác, cần phải có thêm tương tác — ví dụ: bật macro trong tệp Office hoặc nhấp vào nội dung nhúng trong tài liệu OneNote.

Phải làm gì nếu bạn bị lừa đảo

Nếu bạn đã nhập thông tin đăng nhập trên trang lừa đảo, hãy hành động nhanh chóng:

• Ngay lập tức thay đổi mật khẩu cho tài khoản bị lộ và bất kỳ tài khoản nào khác có thông tin đăng nhập giống hoặc tương tự.
• Liên hệ với dịch vụ hỗ trợ chính thức của nền tảng bị ảnh hưởng để bảo vệ tài khoản của bạn.
• Theo dõi chặt chẽ các tài khoản được liên kết và hoạt động tài chính để phát hiện hành vi đáng ngờ.

Suy nghĩ cuối cùng

Email "Quyền truy cập tài khoản của bạn cần được xác nhận lại" được soạn thảo cẩn thận để tạo cảm giác cấp bách và giảm thiểu sự cảnh giác của người dùng. Bằng cách lưu ý rằng các nhà cung cấp dịch vụ hợp pháp sẽ không yêu cầu các hành động nhạy cảm thông qua email không mong muốn, người dùng có thể tránh trở thành nạn nhân. Hãy cảnh giác với các yêu cầu đột ngột như đăng nhập, xác nhận hoặc xác nhận lại tài khoản — chúng thường chỉ là một cái bẫy để đánh cắp dữ liệu của bạn.