Hàng Loạt Tài Khoản Gmail Bị Tấn Công: Mật Khẩu Bị Đánh Cắp Trong Tích Tắc

Trong thời đại số hóa sâu rộng, tài khoản email không chỉ đơn thuần là nơi gửi nhận thư từ cá nhân hay công việc, mà đã trở thành một cổng thông tin nhạy cảm gắn liền với danh tính số của mỗi người. Đối với hàng tỷ người dùng trên toàn cầu, Gmail không chỉ là hộp thư điện tử, mà còn là trung tâm quản lý lịch, lưu trữ tài liệu, truy cập dịch vụ Google và thậm chí liên kết với các nền tảng tài chính, công việc và cá nhân.

Chính vì vậy, việc một chiến dịch tấn công mạng có chủ đích nhằm vào người dùng Gmail đang khiến cộng đồng công nghệ và người dùng toàn cầu không khỏi lo ngại. Đặc biệt, khi những thủ đoạn được sử dụng trong chiến dịch này không phải là những đoạn mã độc thông thường, mà là các kỹ thuật “tấn công xã hội” cực kỳ tinh vi, chậm rãi và có tổ chức bài bản.

Gần đây, Nhóm Tình báo Mối đe dọa của Google (Google Threat Intelligence Group – GTIG) đã phát đi cảnh báo về một chiến dịch lừa đảo nghiêm trọng được cho là do các nhóm tin tặc được nhà nước Nga bảo trợ thực hiện. Chiến dịch này không chỉ nhắm đến người dùng phổ thông, mà đặc biệt nhắm tới các học giả, nhà báo, nhà phân tích quốc tế và những người có tiếng nói phản biện. Trong bài viết này, chúng ta sẽ phân tích kỹ lưỡng cách thức chiến dịch hoạt động, tại sao nó nguy hiểm và làm thế nào người dùng có thể bảo vệ mình trước những mối đe dọa ngày càng tinh vi như thế này.

1. “Cánh cổng số” mà ai cũng phải bảo vệ mang tên Gmail

Hơn một thập kỷ qua, Gmail đã trở thành nền tảng email phổ biến nhất thế giới, không chỉ nhờ vào tính ổn định, giao diện thân thiện mà còn bởi khả năng tích hợp sâu vào hệ sinh thái Google. Gmail giờ đây không chỉ là công cụ giao tiếp, mà còn là “chìa khóa truy cập” đến hàng chục dịch vụ thiết yếu như Google Drive, Google Calendar, Docs, YouTube, Chrome, Google Pay…

Chỉ cần chiếm đoạt một tài khoản Gmail, kẻ tấn công có thể truy cập được toàn bộ hệ sinh thái Google của người dùng, bao gồm tài liệu quan trọng, nhật ký hoạt động, danh bạ, hình ảnh, các thiết lập thanh toán, tài khoản phụ trợ và rất có thể là cả dữ liệu doanh nghiệp. Đối với những người làm việc trong các tổ chức truyền thông, NGO, chính trị gia hay nhà hoạt động xã hội, rủi ro này còn tăng cao gấp nhiều lần do mức độ nhạy cảm của thông tin.

Chính vì vậy, việc bảo vệ tài khoản Gmail không còn là khuyến cáo mà là nhiệm vụ tối quan trọng gần như tương đương với việc bảo mật tài khoản ngân hàng cá nhân. Vấn đề là, những cuộc tấn công hiện nay không chỉ đến từ virus, trojan hay phần mềm gián điệp. Chúng đến từ một điểm yếu khác, chính là yếu tố con người.

2. Ai đnag đứng sau chiến dịch tấn công được hỗ trợ bởi nhà nước?

Theo Google GTIG, chiến dịch tấn công mới nhất này được phát hiện có liên quan đến một nhóm tin tặc có tên mã là UNC6293, được cho là có mối liên hệ với nhóm APT29 còn được biết đến dưới cái tên Cozy Bear. Đây là một trong những nhóm hacker khét tiếng thế giới, được tình nghi có liên hệ với cơ quan tình báo Nga SVR.

Cozy Bear đã từng gây chấn động toàn cầu với vụ tấn công SolarWinds năm 2020, một trong những vụ tấn công mạng nghiêm trọng nhất lịch sử hiện đại. Với những tiền lệ như vậy, không ngạc nhiên khi lần này, nhóm tiếp tục sử dụng chiến thuật “tấn công xã hội” thay vì kỹ thuật brute force hay khai thác lỗ hổng phần mềm.

Khác với các kiểu tấn công máy móc truyền thống, chiến dịch lần này sử dụng chiến lược đánh vào tâm lý và hành vi của con người. Mục tiêu là làm cho nạn nhân tin tưởng và tự tay tiết lộ thông tin đăng nhập của mình. Nói cách khác, nạn nhân không bị cưỡng chế hay xâm nhập mà… chủ động cung cấp “chìa khóa” cho kẻ gian.

3. Cách thức lừa đảo tinh vi

Chiến dịch bắt đầu một cách rất bài bản. Những email đầu tiên được gửi tới người dùng mục tiêu không hề chứa mã độc, liên kết lạ hay nội dung đáng ngờ. Thay vào đó, chúng được cá nhân hóa đến mức đáng kinh ngạc. Ví dụ, một học giả sẽ nhận được email mời tham gia hội thảo học thuật có chủ đề phù hợp với chuyên môn của họ, trong khi một nhà báo có thể nhận được lời mời phỏng vấn, góp mặt trong báo cáo quốc tế hoặc mời viết bài nhận định chuyên sâu.

Thậm chí, các email này còn được gửi từ những địa chỉ có vẻ hợp pháp, như tên miền giả lập của Bộ Ngoại giao Mỹ hoặc một tổ chức phi chính phủ có thật. Điều này khiến nhiều người dễ dàng bị thuyết phục, bởi đây không phải kiểu email spam lộ liễu, mà là những thư mời nghiêm túc, thường đi kèm tệp đính kèm là file PDF hoặc file tham khảo.

Trong file PDF có chứa liên kết đến một trang web được dựng lên cực kỳ chuyên nghiệp. Trang này có thể mang giao diện giống Google, giống các tổ chức học thuật, hoặc giống hệ thống đăng ký hội nghị. Về mặt thị giác, khó có thể phân biệt với trang thật nếu không để ý đến địa chỉ URL. Đây là “phân cảnh đầu” của vở kịch lừa đảo kéo dài nhiều ngày.

4. Tấn công bằng chính tính năng bảo mật

Chiêu thức đánh cắp chính không phải là lấy trộm mật khẩu Gmail trực tiếp. Thay vào đó, nhóm hacker hướng dẫn người dùng truy cập vào trang chính chủ của Google account.google.com để tạo một loại mật khẩu đặc biệt: App-Specific Password (ASP).

ASP là một chuỗi mã gồm 16 ký tự, được Google cung cấp để các ứng dụng bên thứ ba (như phần mềm email hoặc lịch) có thể truy cập tài khoản Gmail mà không cần đến xác thực 2 bước (2FA). Đây là một tính năng hoàn toàn hợp pháp, vốn dĩ được tạo ra để tăng tính bảo mật và thuận tiện khi sử dụng ứng dụng ngoài Google.

Nhưng trong chiến dịch này, hacker đã “dụ” người dùng tự tay tạo ASP và dán mã đó vào trang web giả mạo mà chúng điều khiển. Vì ASP được sinh ra từ chính tài khoản thật và do chính chủ tài khoản tạo, nên không có cơ chế cảnh báo hoặc chặn từ Google. Kẻ tấn công chỉ cần mã ASP này là đã có thể đăng nhập Gmail từ xa, giống như một ứng dụng chính chủ.

Nguy hiểm hơn, vì không cần xác minh 2 bước nên mọi nỗ lực bảo vệ tài khoản bằng mã OTP, xác minh thiết bị hay số điện thoại đều bị vô hiệu hóa. Trong vài phút ngắn ngủi, toàn bộ quyền truy cập Gmail đã bị đánh cắp một cách hợp pháp nhưng hoàn toàn nằm ngoài tầm kiểm soát của người dùng.

5. Vì sao chiêu thức này nguy hiểm hơn cả mã độc?

Điều khiến chiến dịch này đặc biệt nguy hiểm nằm ở hai yếu tố: tính thuyết phục và sự hợp pháp giả mạo. Không có mã độc nào được sử dụng. Không có liên kết rút gọn lừa đảo. Không có email lỗi chính tả hay font lạ thường thấy. Mọi bước đi đều như thật từ nội dung, tệp đính kèm, cho đến trang web, lời mời và hành động tạo ASP.

Việc lợi dụng tính năng ASP càng khiến chiến dịch nguy hiểm gấp bội. Không phải ai cũng biết ASP là gì, càng không hiểu rõ nó mạnh đến mức nào. Hacker đã lợi dụng đúng điểm mù thông tin này để chiếm quyền truy cập tài khoản một cách dễ dàng mà không gây báo động.

Chiến dịch cũng cho thấy giới hạn của bảo mật kỹ thuật khi yếu tố con người mới là mắt xích yếu nhất. Không có hệ thống bảo mật nào ngăn được người dùng tự tay đưa mã truy cập cho kẻ tấn công. Đây là minh chứng sống động cho sức mạnh của các cuộc tấn công xã hội (social engineering) nơi công nghệ không phải vũ khí, mà là sự thao túng hành vi.

6. Google cảnh báo và khuyến nghị người dùng

Ngay sau khi phát hiện chiến dịch, Google đã phát đi cảnh báo chính thức tới nhóm người dùng bị nhắm đến. Đồng thời, họ cũng đưa ra khuyến nghị cụ thể cho cộng đồng nhằm ngăn chặn nguy cơ lan rộng.

Thứ nhất, người dùng không bao giờ được chia sẻ mã App-Specific Password, dù bất kỳ ai yêu cầu, kể cả email có vẻ đáng tin cậy. ASP chỉ nên dùng cho thiết bị cá nhân và ứng dụng chính thức, không bao giờ gửi qua email hoặc điền vào form không xác minh.

Thứ hai, hãy kiểm tra kỹ đường link trước khi click, kể cả khi email gửi từ tên miền có vẻ hợp pháp. Hãy đưa chuột lên liên kết để kiểm tra địa chỉ thực tế. Nếu URL không thuộc miền chính thức của Google (google.com), đừng truy cập.

Thứ ba, kích hoạt tính năng cảnh báo đăng nhập lạ của Google, thường xuyên kiểm tra các thiết bị đã đăng nhập và hoạt động gần đây. Nếu thấy thiết bị lạ, cần đổi mật khẩu ngay lập tức và thu hồi mã ASP nếu đã tạo.

Cuối cùng, Google khuyên người dùng sử dụng khóa bảo mật vật lý (security key) hoặc ứng dụng xác thực như Google Authenticator để tăng độ bảo mật. Ngoài ra, các tổ chức và cá nhân có nguy cơ cao nên tham gia Chương trình bảo vệ nâng cao (Advanced Protection Program) của Google.

7. Bài học từ một chiến dịch đánh cắp Gmail tinh vi

Không một công nghệ nào là hoàn hảo. Không một tài khoản nào là tuyệt đối an toàn nếu người dùng không tỉnh táo. Chiến dịch của nhóm UNC6293 cho thấy tấn công mạng hiện đại không còn nằm ở dòng mã, mà là ở cách kẻ xấu hiểu và thao túng hành vi của nạn nhân.

Ở đây, chính sự lịch sự, tính tò mò, mong muốn cộng tác hoặc nhận được cơ hội nghề nghiệp từ email giả mạo đã khiến nhiều người vô tình tiếp tay cho hacker. Đây là lời nhắc quan trọng: đôi khi, người dùng là bức tường bảo mật cuối cùng và cũng là điểm yếu lớn nhất.

Gmail, như bao nền tảng công nghệ khác, luôn không ngừng cải tiến để bảo vệ người dùng. Nhưng rốt cuộc, mỗi cá nhân vẫn cần tự bảo vệ chính mình, bằng cách trang bị kiến thức, kiểm tra thói quen số và duy trì sự hoài nghi cần thiết trong môi trường kỹ thuật số.

Chiến dịch tấn công vào người dùng Gmail thời gian qua là một lời cảnh tỉnh rõ ràng về sự phức tạp và tinh vi ngày càng gia tăng trong thế giới an ninh mạng. Việc lợi dụng một tính năng hợp pháp App-Specific Password để đánh cắp tài khoản Gmail là ví dụ điển hình cho sự sáng tạo nguy hiểm của các nhóm hacker.

Không cần phần mềm độc hại, không cần kỹ thuật siêu cấp, chỉ cần một email được soạn kỹ và một kịch bản đủ thuyết phục, kẻ tấn công có thể khiến người dùng tự tay giao nộp thông tin cá nhân quan trọng nhất. Đây là lời nhắc nhở sâu sắc rằng trong thời đại số, an ninh mạng không chỉ là trách nhiệm của nhà phát triển, mà là thói quen sống còn của người dùng.

Hãy luôn cảnh giác, đừng bao giờ cung cấp mã truy cập cá nhân cho bất kỳ ai và đặc biệt đừng đánh giá thấp những email trông có vẻ “chuyên nghiệp”. Đôi khi, chính sự chuyên nghiệp đó mới là vỏ bọc nguy hiểm nhất.