Google cảnh báo khẩn đối với 2,5 tỷ người dùng Gmail: Các điều cần làm ngay lập tức để bảo vệ tài khoản!

Google vừa thừa nhận đang là mục tiêu của một chiến dịch tấn công mạng quy mô lớn do nhóm tống tiền khét tiếng ShinyHunters thực hiện. Vụ việc bắt đầu với việc xâm nhập thành công cơ sở dữ liệu Google Salesforce, dẫn đến rò rỉ dữ liệu và một loạt các cuộc tấn công nhắm vào nhiều sản phẩm của "gã khổng lồ" công nghệ này.

Người dùng Google Cloud nhận được cảnh báo về một lỗ hổng bảo mật nghiêm trọng. Tin tặc đã sử dụng phương pháp "dangling bucket" (thùng chứa dữ liệu bị bỏ ngỏ) để đánh cắp thông tin và phát tán phần mềm độc hại. Ngay sau đó, người dùng Gmail, với 2,5 tỷ tài khoản, cũng không thoát khỏi vòng xoáy nguy hiểm này.

Chiêu bài lừa đảo mới: Giả danh nhân viên hỗ trợ Google

Trên các diễn đàn trực tuyến, người dùng Gmail đồng loạt báo cáo một làn sóng lừa đảo mới tinh vi hơn. Lần này, tin tặc kết hợp cả email và điện thoại, mạo danh là nhân viên hỗ trợ chính thức của Google để chiếm đoạt tài khoản.

Cụ thể, nạn nhân sẽ nhận được một cuộc gọi từ kẻ lừa đảo, thông báo tài khoản của họ đang bị tấn công và cần phải "đặt lại mật khẩu ngay lập tức để bảo vệ". Sau đó, một email đặt lại mật khẩu sẽ được gửi đến, trong đó có một mã xác minh. Kẻ lừa đảo sẽ thuyết phục nạn nhân đọc mã này qua điện thoại.

Khi nạn nhân làm theo, chúng sẽ sử dụng mã đó để chiếm quyền kiểm soát tài khoản ngay lập tức. Đây là một chiêu lừa đảo "kép", rất khó để người dùng bình thường phát hiện.

Google lên tiếng và đưa ra khuyến cáo

Phản ứng trước tình hình này, một phát ngôn viên của Google đã đưa ra cảnh báo: "Chúng tôi khuyến khích tất cả người dùng hãy luôn cảnh giác. Google sẽ không bao giờ gọi điện cho bạn để đặt lại mật khẩu hoặc khắc phục sự cố tài khoản".

Theo thống kê của Google, số lượng các mối đe dọa đánh cắp mật khẩu qua email đã tăng 84% trong năm ngoái, và xu hướng này được dự báo sẽ tiếp tục leo thang trong năm 2025.

Để tự bảo vệ mình, người dùng được khuyên thực hiện ngay 3 biện pháp dưới đây:

-  Kiểm tra bảo mật tài khoản (Google Security Checkup): Đây là công cụ tự động của Google giúp bạn kiểm tra toàn bộ cài đặt bảo mật của tài khoản và đưa ra các khuyến nghị để cải thiện. Bạn chỉ cần làm theo hướng dẫn để thay đổi các thiết lập còn rủi ro.

- Kích hoạt chương trình Bảo vệ Nâng cao (Advanced Protection Program): Chương trình này cung cấp các lớp bảo vệ bổ sung, bao gồm: Chặn tải xuống các tệp tin độc hại; Hạn chế các ứng dụng không thuộc Google truy cập vào dữ liệu cá nhân; Áp dụng quy trình khôi phục tài khoản phức tạp hơn để ngăn chặn tin tặc.

-  Sử dụng khóa bảo mật (Google Passkey): Google khẳng định, việc sử dụng khóa bảo mật (Passkey) là cách hiệu quả nhất để chống lại các cuộc tấn công lừa đảo tự động. Theo một phát ngôn viên của Google, khóa bảo mật "cung cấp khả năng bảo vệ mạnh mẽ hơn so với tin nhắn SMS, mã xác minh một lần trên ứng dụng và các hình thức xác thực hai yếu tố truyền thống khác".