Google lật tẩy nhóm vishing UNC6040 dùng SMS giả để lừa tiền người dùng

Nhóm tội phạm mạng UNC6040 thực hiện chiến dịch vishing kết hợp SMS giả mạo, dụ nạn nhân gọi tổng đài và chuyển tiền – tăng cường nhận diện để bảo vệ tài chính cá nhân và doanh nghiệp.

Chiến dịch vishing tinh vi qua SMS giả dạng Google

Một nhóm tội phạm mạng được đặt tên là UNC6040 đang triển khai chiến dịch lừa đảo vishing – kèm tin nhắn SMS giả mạo từ Google gửi tới người dùng. Nội dung chứa cảnh báo tài khoản bị khóa và hướng dẫn người nhận gọi đến đường dây hỗ trợ giả để giải quyết. Khi gọi, nạn nhân được yêu cầu cung cấp mã OTP, mã PIN thẻ hoặc thậm chí thực hiện chuyển tiền vào tài khoản “hỗ trợ” để mở khóa tài khoản.

Tin tặc kết hợp phương pháp kỹ thuật xã hội và giả mạo danh tính hết sức thuyết phục, khiến ngay cả những người cẩn trọng cũng dễ mắc bẫy nếu không nâng cao cảnh giác.

Giải pháp bảo mật cần áp dụng

1. Không gọi theo số trong tin nhắn SMS
   Google và các dịch vụ lớn không gửi SMS yêu cầu bạn gọi tổng đài để giải quyết vấn đề. Nếu nhận được, nên gọi đến số hỗ trợ chính thức từ website của đơn vị đó để xác minh.

2. Không chia sẻ mã OTP và PIN
   Mọi mã xác thực, bao gồm OTP, PIN, mật khẩu… tuyệt đối không cung cấp cho bên thứ ba dù tự xưng là nhân viên hỗ trợ.

3. Xác thực danh tính người gọi
   Nếu nhận được cuộc gọi tự nhận là từ Google, ngân hàng hoặc nền tảng công nghệ, hãy yêu cầu tên, mã nhân viên và gọi lại qua số chính thức để xác thực.

4. Sử dụng xác thực đa yếu tố không dựa vào SMS
   Hãy chuyển sang app xác thực (Google Authenticator, Authy) hoặc khóa phần cứng để bảo vệ tài khoản thay vì dùng SMS có thể bị lợi dụng.

5. Thông báo và chia sẻ cảnh báo trong cộng đồng
   Nếu nhận được SMS lừa, hãy cảnh báo người thân, đồng nghiệp và báo cáo cho nhà mạng hoặc cơ quan chức năng để ngăn chặn chiến dịch lừa đảo.

6. Đào tạo nhân viên trong tổ chức
   Tổ chức các buổi tập huấn phương pháp nhận diện vishing và phishing để nâng cao kỹ năng phản ứng khi nhận tin nhắn hoặc cuộc gọi lạ.

Chiến dịch của nhóm UNC6040 minh chứng rằng phishing giờ đây không chỉ qua email, mà còn lan sang SMS và gọi điện trực tiếp. Bảo vệ cá nhân và tổ chức đòi hỏi kỹ năng nhận diện cảnh báo giả mạo, tuân thủ các nguyên tắc bảo mật cơ bản và thông tin kịp thời đến cộng đồng xung quanh.

Hương - Theo TheHackerNews