Tin tặc lợi dụng file PDF giả mạo Microsoft, DocuSign để điều khiển người dùng gọi điện thoại và chiếm tài khoản

Chiến dịch lừa đảo kết hợp PDF và vishing khiến người dùng mở file giả, gọi điện vào số giả mạo để tiết lộ thông tin hoặc cài phần mềm độc.

Chiến dịch gian lận mới: PDF + vishing (TOAD)
Tin tặc đang lợi dụng file PDF gửi qua email, chứa nội dung giả mạo từ Microsoft, DocuSign, PayPal… trong đó yêu cầu người dùng gọi đến số hotline giả để “xác thực” hoặc “giải quyết tài khoản”. Mục tiêu là dụ nạn nhân tiết lộ thông tin nhạy cảm hoặc cài phần mềm độc hại trong cuộc gọi.

Đặc điểm khá tinh vi:

• PDF tích hợp QR code dẫn đến trang phishing được bảo vệ CAPTCHA, hoặc đường link ẩn qua chú thích (annotation) PDF.

• Nội dung email được nhúng hoàn chỉnh trong PDF để vượt qua bộ lọc email.

• Cuộc gọi dẫn người dùng đến số VoIP giả, người nghe đóng giả là nhân viên hỗ trợ để khiến nạn nhân tin tưởng và thao tác theo hướng dẫn.

Hệ quả nguy hiểm
Người dùng có thể tiết lộ mã OTP, thông tin tài khoản, hoặc được yêu cầu cài phần mềm tấn công như Remote Access, khiến hacker có thể truy cập và kiểm soát thiết bị từ xa.

5 bước phòng tránh hiệu quả

1. Không mở PDF từ email lạ
   Nếu không chắc nguồn gửi file, đừng mở dù email có vẻ chuyên nghiệp, tránh bị dụ mở nội dung độc hại.

2. Không gọi theo số trong file gửi kèm
   Các tổ chức lớn không yêu cầu người dùng gọi theo số đính kèm—hãy luôn tìm số liên hệ chính thức từ website.

3. Kiểm tra QR code cẩn thận
   Nếu thấy QR code yêu cầu mở trang web, kiểm tra kỹ đường dẫn và đảm bảo trang đó là chính thức của thương hiệu gửi file.

4. Đào tạo kỹ năng nhận diện TOAD
   Người dùng cần nhận thức về cuộc gọi lừa đảo qua PDF: khách hàng thức thời sẽ đặt câu hỏi và dừng cuộc gọi nếu có nghi vấn.

5. Triển khai giải pháp email và cuộc gọi chống lừa đảo
   Các tổ chức nên dùng bộ lọc nâng cao nhận diện PDF độc hại + hệ thống cảnh báo hoặc giám sát cuộc gọi thoại bất thường.

Chiến dịch kết hợp PDF và vishing là minh chứng rõ rằng hacker ngày càng mở rộng phương thức tấn công, không chỉ đơn thuần qua email web; họ thực sự gọi điện trực tiếp để thuyết phục người dùng hành động. Việc nâng cao nhận thức, xác thực thông tin và áp dụng giải pháp bảo vệ là cách tốt nhất để phòng ngừa trước mô hình lừa đảo tinh vi này.

Hương - Theo TheHackerNews