Forbes đã công bố một bài viết chi tiết về hai trải nghiệm của các nạn nhân, cùng với những cuộc gọi lừa đảo mà họ đã nhận được. Điều quan trọng cần lưu ý là mặc dù những chiêu trò này có vẻ mới mẻ, nhưng người dùng cần phải hết sức cẩn trọng, đặc biệt khi kẻ lừa đảo tự nhận là đại diện từ Google.
Cảnh giác với những chiêu lừa đảo tài khoản Google
Báo cáo từ Forbes đã nêu ra hai ví dụ tiêu biểu về loại lừa đảo này. Nạn nhân đầu tiên, Sam Mitrovic, một nhân viên tại Microsoft, đã nhận được thông báo yêu cầu khôi phục tài khoản, thường xảy ra khi người dùng quên mật khẩu. Với việc nhận thấy rằng thông báo này có thể có ý đồ xấu, Mitrovic đã bỏ qua nhưng sau 40 phút, anh nhận được cuộc gọi từ “Hỗ trợ Google”. Dù đã từ chối cuộc gọi này nhưng một lần nữa, sau 40 phút, anh lại nhận được một thông báo và cuộc gọi nữa từ “Hỗ trợ Google”.
Khi lần này Mitrovic quyết định trả lời, anh đã gặp một “đại diện” với giọng Mỹ hỏi xem liệu anh có đi du lịch gần đây, đặc biệt là đến Đức hay không. Khi Mitrovic trả lời là không, nhân viên này đã cảnh báo rằng có ai đó đang truy cập bất hợp pháp vào tài khoản của anh từ Đức và đã tải xuống dữ liệu trong bảy ngày qua. Khi Mitrovic thực hiện tìm kiếm số điện thoại mà đại diện đã gọi đến, anh thấy nó dẫn đến trang hỗ trợ chính thức của Google. Đây là một điều gây nhầm lẫn, vì số điện thoại đó thực sự không phải là số của Hỗ trợ Google mà là số dành cho Assistant để hỗ trợ các doanh nghiệp. Qua đó, có thể thấy rõ đây là một mánh lừa đảo tinh vi.
Ví dụ thứ hai mà Forbes đã chỉ ra là Garry Tan, người sáng lập Y Combinator, cũng đã gặp phải kịch bản lừa đảo tương tự. Garry nhận được cuộc gọi từ “Hỗ trợ Google”, họ tuyên bố rằng có một giấy chứng tử liên quan đến anh và một thành viên trong gia đình đang cố gắng lợi dụng để truy cập tài khoản của anh. Người gọi khẳng định rằng họ chỉ gọi để xác nhận rằng Garry vẫn còn sống và để gửi một yêu cầu khôi phục tài khoản. Đáng lo ngại, yêu cầu khôi phục tài khoản không thực sự đến từ Google mà là một mánh lừa đảo. Garry nhấn mạnh rằng thiết bị đã phát ra yêu cầu đó trên thực tế không phải là một thiết bị được Google ủy quyền.
Dù không có bằng chứng xác thực, có vẻ như các cuộc gọi trong hai trường hợp đều được hỗ trợ bởi AI. Cả hai nạn nhân xác nhận rằng giọng nói rất thuyết phục và tự nhiên. Đặc biệt, trong trường hợp của Mitrovic, “người gọi” đã lặp lại lời chào một cách hoàn hảo khiến anh tin đó thực sự là AI – những dấu hiệu nhận biết khác biệt của âm thanh AI.
Trên thực tế, chiêu lừa đảo này không hề mới
Mặc dù các phương thức lừa đảo AI đang thu hút sự chú ý tại thời điểm này, nhưng những kịch bản mà các kẻ lừa đảo sử dụng thực sự là những chiêu trò cổ điển. Bạn có thể bảo vệ bản thân bằng cách hiểu rõ những điểm mấu chốt, dù cho các kẻ lừa đảo có áp dụng công nghệ AI hay không.
Trước hết, các công ty công nghệ lớn như Google không tự động gọi bạn để thông báo về một sự cố bảo mật trong tài khoản. Thực tế, Google và các công ty tương tự thường xuyên thiếu hỗ trợ khách hàng qua điện thoại. Bạn cần lưu ý rằng nếu như không thể liên lạc với một người thật khi có vấn đề thì không có lý do gì để một nhân viên Google gọi cho bạn trước. Do đó, nếu bạn nhận được cuộc gọi từ một nguồn không rõ ràng, cho dù giọng nói có thuyết phục đến đâu, hãy xem đây là tín hiệu cảnh báo cần phải bỏ qua.
Một vấn đề khác mà người dùng cần nhận thức được đó là các yêu cầu khôi phục tài khoản. Đây là một hình thức lừa đảo đã tồn tại từ lâu: Kẻ lừa đảo gây ra một cảnh báo khôi phục tài khoản từ phía người dùng và khiến họ tin rằng họ cần xác thực danh tính của mình. Tuy nhiên, đó không phải là mục đích của quy trình khôi phục tài khoản. Các yêu cầu này chỉ nên được kích hoạt khi bạn không thể truy cập vào tài khoản của mình. Bạn cần báo cho Google, họ sẽ gửi yêu cầu khôi phục đến địa chỉ email liên kết của bạn. Chỉ khi nào bạn mở email đó và bấm vào nút “Có, là tôi đây”, bạn mới thực sự bắt đầu quá trình khôi phục tài khoản của riêng mình. Chưa bao giờ ai khác được tham gia vào quy trình này.
Kẻ lừa đảo sẽ giả mạo là từ Hỗ trợ Google và tuyên bố rằng yêu cầu khôi phục tài khoản chỉ nhằm xác thực danh tính của bạn hoặc rằng tài khoản của bạn vẫn đang hoạt động. Tuy nhiên, khi bạn nhấp vào nút “Có, là tôi đây”, bạn đã kích hoạt quy trình phục hồi tài khoản ở phía của họ. Điều này đồng nghĩa với việc họ có thể truy cập tài khoản của bạn và khóa bạn ra, từ đó đánh cắp thông tin cá nhân của bạn.
Điều quan trọng cần lưu ý: Nếu bạn không tự yêu cầu khôi phục tài khoản, thì yêu cầu đó sẽ không hợp pháp. Hãy luôn luôn bỏ qua chúng.
Nếu bạn lo lắng về việc bị hack
Nếu bạn nhận được một cuộc gọi hoặc tin nhắn có nội dung như vậy, chances là đây đang là một kẻ xấu mong muốn lừa đảo bạn qua phishing. Nếu không có những hành động từ phía bạn, họ sẽ chuyển sang tìm kiếm những nạn nhân khác. Tuy nhiên, việc thực hiện một số bước để đảm bảo rằng tài khoản của bạn đang được bảo vệ là luôn hợp lý.
Trên trang cài đặt bảo mật tài khoản Google của bạn, bạn có thể kiểm tra sức khỏe bảo mật của tài khoản. Tại đây, bạn sẽ thấy tất cả các phiên hoạt động, xem liệu Google có bất kỳ cảnh báo bảo mật nào cần bạn chú ý hay không, cùng với các cài đặt cho các phương thức như xác thực hai yếu tố, mật khẩu, khóa truy cập, email khôi phục, và số điện thoại.
Nếu bạn nghi ngờ về mức độ bảo mật của tài khoản của mình, hãy xem xét các phiên hoạt động: Nếu nhìn thấy một thiết bị hoặc vị trí lạ, bạn có thể nhấp vào nó và đăng xuất thiết bị từ tài khoản của mình. Tuy nhiên, hãy lưu ý rằng nếu như bạn đang sử dụng VPN hoặc Bật tức thì iCloud Private Relay của Apple, bạn có thể thấy các phiên từ những vị trí không rõ ràng, điều này là bình thường vì các dịch vụ này sẽ làm mờ vị trí thực tế.
Cuối cùng, việc thay đổi mật khẩu định kỳ và bảo vệ tài khoản của bạn bằng phương thức xác thực hai yếu tố (2FA) là biện pháp hiệu quả. Với việc này, ngay cả khi kẻ tấn công phát hiện được mật khẩu của bạn, họ cũng cần một bước xác thực bổ sung từ một thiết bị tin cậy mà họ không có. Đặt khóa truy cập cũng là một lựa chọn tốt để tối ưu bảo mật.
Cuối cùng, các kẻ tấn công chỉ có thể nhắm đến bạn mà không thể truy cập vào tài khoản của bạn nếu không có những hành động từ phía bạn. Họ cần bạn nhấp vào các liên kết độc hại hoặc cung cấp thông tin xác thực của mình. Chỉ cần đảm bảo rằng mật khẩu của bạn đủ mạnh và bạn có các phương thức xác thực khác, việc tốt nhất bạn có thể làm để tránh trở thành nạn nhân của những trò lừa đảo này là đơn giản là phớt lờ chúng.