 |
Ảnh minh hoạ. |
Tính bảo mật của Gmail luôn được xem là một trong những ưu điểm lớn nhất để thu hút người dùng, nhưng giờ đây, một trong những tính năng bảo mật mới quan trọng nhất của nó đang bị tin tặc tích cực sử dụng để lừa đảo người dùng.
Được giới thiệu vào tháng trước, hệ thống tick xanh của Gmail nhằm giúp người dùng phân biệt email nào là hợp pháp và email nào có thể đã được gửi bởi những kẻ mạo danh đang lừa đảo. Tuy nhiên, những kẻ lừa đảo đang tận dụng một lỗ hổng để thêm tick xanh cho email giả mạo.
Cụ thể, một email gửi đến hộp thư Gmail của bạn có dấu tick xanh được cho là an toàn và bạn có thể mở ra mà không lo ngại đó là thư lừa đảo, thư rác hoặc bị tấn công. Tuy nhiên, hệ thống này cũng có kẽ hở nhất định, những kẻ lừa đảo có thể yêu cầu Gmail xác minh email giả mạo của chúng bằng cách xuất hiện dấu tick xanh.
Chris Plummer đã gửi báo cáo lỗi cho Google sau khi phát hiện một kẻ lừa đảo gửi email có tick xanh, mạo danh công ty quản lý chuỗi cung ứng và vận chuyển hàng hoá đa quốc gia của Mỹ (UPS).
Ban đầu, Google từ chối tiếp nhận những phát hiện của Plummer và tuyên bố rằng họ sẽ không sửa lỗi vì xem đây là hành vi dự kiến. Nhưng kỹ sư Plummer đã đưa vấn đề này lên mạng xã hội với tiêu đề “Làm thế nào mà một kẻ lừa đảo mạo danh UPS lại có thể qua mặt được hệ thống kiểm định một cách thuyết phục đến như vậy”?
Tuy nhiên, sau đó Google đã nhanh chóng thay đổi ý kiến và gửi email cho Plummer với nội dung sau: “Sau khi xem xét kỹ hơn, chúng tôi nhận ra rằng đây thực sự không phải là một lỗ hổng bảo mật thông thường. Vì vậy, chúng tôi đã gửi cho một nhóm điều tra để xem xét kỹ hơn chuyện gì đang xảy ra. Một lần nữa chúng tôi xin lỗi vì sự nhầm lẫn, cảm ơn bạn rất nhiều vì đã gửi vấn đề cho chúng tôi. Chúng tôi sẽ thông báo cho bạn về đánh giá của chúng tôi và hướng giải quyết vấn đề này. Trân trọng, Nhóm bảo mật của Google”.
Google hiện đã đưa lỗ hổng này vào diện P1, nghĩa là đây sẽ là bản sửa lỗi được ưu tiên hàng đầu. Tuy nhiên, cho đến khi lỗ hổng được khắc phục, người dùng cần đề phòng với những email mà mình không quen thuộc, thậm chí có cả dấu tick xanh. Tốt hơn hết là người dùng không nên nhấp vào bất kỳ liên kết nào không tin cậy, cũng như không cung cấp các thông tin cá nhân, số tài khoản ngân hàng, các mật khẩu cần thiết.
 |
| Google đưa lỗ hổng bảo mật này vào diện ưu tiên sửa lỗi hàng đầu (P1). |
Nếu bạn nhận được email có vẻ như quan trọng gửi đến hộp thư Gmail của mình và email đó được xác minh bằng dấu tick xanh, nếu cẩn thận hơn hãy gọi điện thoại cho công ty. Đừng gọi đến số điện thoại được viết trong thư.
Hiện Google dành mọi ưu tiên để xóa sổ lỗ hổng bảo mật này, nên hy vọng rằng nó chưa kịp lừa đảo và gây hậu quả cho bất kỳ ai. Tuy nhiên, rất có thể một số ít người dùng sẽ mất một số tiền với trò lừa đảo này vì hiện ứng dụng Gmail có hơn 1,8 tỷ tài khoản đang hoạt động trong năm nay.
Với lỗ hổng này, kẻ xấu cũng có thể sử dụng để xóa sạch tài khoản ngân hàng của bạn.
Giả sử bạn nhận được email từ một tài khoản có dấu tick xanh và thông báo rằng bạn sắp nhận được một gói hàng. Bức thư có thể nói rằng người gửi cần một số thông tin để xác minh danh tính của bạn. Với dấu tick xanh xác minh độ tin cậy, bạn đồng ý cung cấp một số thông tin cá nhân mà họ cần để giao gói hàng của bạn. Vì vậy, bạn gửi cho họ ngày sinh, số căn cước công dân, tài khoản ngân hàng và/hoặc thông tin thẻ tín dụng của bạn. Bạn có thể tưởng tượng những gì một kể xấu có thể làm với tất cả thông tin đó.
Phần lớn hiện nay các công ty sẽ không gửi cho bạn tin nhắn hoặc email có gắn liên kết. Hầu hết các email cũng sẽ không yêu cầu bất kỳ thông tin cá nhân nào của bạn. Ngay cả khi Google xử lý lỗ hổng bảo mật này, thì bạn cũng không nên cung cấp thông tin cá nhân của mình dưới bất cứ hình thức nào, vì tốc độ đánh cắp, tốc độ chiếm đoạt và xóa dấu vết mà một kẻ lừa đảo có thể thực hiện là không ai có thể ngăn cản kịp, thậm chí chỉ vài giây mà một tài khoản ngân hàng của bạn có thể mất trắng nhanh chóng.
Do đó, điều tốt nhất là người dùng nên duy trì thái độ cẩn trọng và cảnh giác với tất cả email có hoặc không có tick xanh./.
