Một chiến dịch lừa đảo phishing tinh vi đang nhắm vào những người đang tìm việc thông qua email tuyển dụng giả mạo, sử dụng danh tiếng của các thương hiệu toàn cầu như Red Bull để tạo sự tin tưởng và lừa bịp người nhận. Chiến dịch này được thiết kế để vượt qua các biện pháp bảo vệ email và lừa người dùng vào các trang web giả mạo.

Các email trong chiến dịch này được gửi từ domain post.xero.com, một địa chỉ thuộc hệ thống hợp pháp và đã vượt qua các cơ chế xác minh như SPF, DKIM và DMARC. Nhờ đó, email không bị hệ thống lọc đánh dấu là đáng ngờ và dễ dàng xuất hiện trong hộp thư chính của người dùng. Email giới thiệu một vị trí ‘Social Media Manager’ làm việc từ xa với mô tả rõ ràng, lời lẽ lịch sự và ngữ cảnh hợp lý, đặc biệt phù hợp với xu hướng tuyển dụng hiện tại sau đại dịch Covid-19.

Khi người dùng nhấp vào liên kết trong thư, họ sẽ được đưa qua một trang reCAPTCHA và sau đó chuyển tiếp đến một giao diện mô phỏng Glassdoor. Trang web này được thiết kế gần như không khác gì trang web chính thức, từ màu sắc đến bố cục, khiến người dùng rất khó phát hiện ra dấu hiệu bất thường. Sau khi nhấn nút ‘Apply’, người dùng sẽ được chuyển đến một trang đăng nhập Facebook. Tại đây, nếu người dùng điền thông tin đăng nhập, dữ liệu sẽ không được gửi đến Facebook mà bị chuyển thẳng về máy chủ của kẻ tấn công mà người dùng không hề hay biết.

Phía sau các trang giả mạo là một hạ tầng tấn công được triển khai bài bản. Tên miền độc hại được đăng ký gần đây và máy chủ đặt tại AS-63023, một mạng IP từng liên quan đến nhiều chiến dịch tấn công ngắn hạn. Chứng chỉ HTTPS hợp lệ được cấp qua Let’s Encrypt, loại bỏ hoàn toàn cảnh báo bảo mật thường thấy. Dấu vết TLS fingerprint cho thấy sự trùng khớp với các trang giả mạo khác từng nhắm vào người dùng Meta và MrBeast, cho thấy đây là một bộ kit lừa đảo có sẵn thuộc mô hình phishing-as-a-service.

Để tránh trở thành nạn nhân của các chiến dịch lừa đảo dạng này, người dùng cần lưu ý một số điểm quan trọng. Thứ nhất, không đăng nhập vào tài khoản cá nhân như Facebook hoặc Google thông qua bất kỳ đường dẫn nào trong email tuyển dụng, trừ khi đã xác minh rõ ràng nguồn gửi. Thứ hai, kiểm tra kỹ địa chỉ email người gửi, đặc biệt phần tên miền, và so sánh với thông tin chính thức của công ty.

Người dùng cũng nên quan sát tên miền của trang web trước khi nhập thông tin. Những tên miền dài bất thường, chứa cụm từ lạ hoặc lệch so với tên thương hiệu là dấu hiệu cần cảnh giác. Ngoài ra, không vội tin vào lời mời việc làm có nội dung quá hấp dẫn, nhất là khi trùng hợp với thời điểm nhạy cảm như vừa gửi CV hoặc đang thất nghiệp.

Thay vào đó, tìm kiếm thông tin tuyển dụng thông qua website chính thức của công ty thay vì nhấp vào đường link trong email. Nếu cảm thấy nghi ngờ, nên dừng lại và hỏi ý kiến từ nguồn đáng tin cậy như đồng nghiệp, quản trị viên CNTT hoặc diễn đàn chuyên môn.

Các chiến dịch phishing hiện nay không còn được phát tán ồ ạt một cách ngẫu nhiên như trước mà đang dần chuyển sang hình thức nhắm mục tiêu cụ thể, được thiết kế tinh vi và khó phát hiện hơn nhiều. Một lời mời làm việc, nếu không được kiểm chứng kỹ, có thể trở thành cánh cửa mở cho hành vi đánh cắp danh tính và truy cập trái phép vào hệ thống cá nhân hoặc doanh nghiệp.

Khi niềm tin vào thương hiệu bị lợi dụng, việc nhìn thấy một logo quen thuộc trong email không còn đồng nghĩa với sự an toàn. Sự thận trọng vẫn là lớp bảo vệ đầu tiên và hiệu quả nhất trước các hình thức lừa đảo ngày càng tinh vi.

Để biết thêm thông tin về các chiến dịch lừa đảo và cách phòng tránh, bạn có thể tham khảo các nguồn thông tin đáng tin cậy như Cybersecurity News hoặc SentinelOne.

Chúng tôi hy vọng những thông tin trên sẽ giúp người dùng nâng cao cảnh giác và bảo vệ mình trước các hình thức lừa đảo ngày càng tinh vi.

Lừa đảo giả mạo shipper là một thủ đoạn tinh vi và ngày càng phổ biến, khiến nhiều người trở thành nạn nhân bất đắc dĩ. Dù cơ quan chức năng liên tục cảnh báo và báo chí thường xuyên đăng tin về thủ đoạn này, những kẻ gian manh vẫn tiếp tục thao túng nạn nhân bằng cách khai thác triệt để tâm lý chủ quan của người tiêu dùng và sự thiếu cảnh giác trong giao dịch trực tuyến.

Những chiêu lừa phổ biến mà kẻ gian sử dụng bao gồm gọi điện giả danh nhân viên giao hàng, đọc chính xác tên, số điện thoại và địa chỉ của khách để tạo sự tin tưởng. Sau đó, chúng yêu cầu khách chuyển khoản vào tài khoản cá nhân với lý do phát sinh phí giao hàng hoặc phí bảo hiểm hàng hóa. Ngay khi nhận được tiền, đối tượng lập tức chặn liên lạc, khiến nạn nhân mất tiền và không nhận được hàng.

Một thủ đoạn khác là đánh vào sự lo sợ của nạn nhân bằng cách thông báo đã chuyển nhầm tài khoản ‘hội viên shipper’. Đối tượng nói rằng nếu không hủy dịch vụ, tài khoản sẽ bị trừ từ 2 đến 3,5 triệu đồng mỗi tháng. Trong tình huống căng thẳng này, nhiều người làm theo yêu cầu, nhấp vào liên kết lạ hoặc cung cấp mã OTP để ‘hủy dịch vụ’, vô tình mở đường cho kẻ gian chiếm đoạt tiền và thông tin cá nhân.

Nguyên nhân người dân dễ sập bẫy là do tình trạng rò rỉ dữ liệu cá nhân, tâm lý sợ mất đơn hàng, vội vàng nhận hàng khi bận rộn và sự chuyên nghiệp của những kẻ lừa đảo. Chúng sử dụng giọng nói tự tin, thuật ngữ chuyên ngành vận chuyển, thậm chí gửi hình ảnh giả mạo nhân viên giao hàng hoặc phiếu giao hàng để củng cố lòng tin của khách.

Để nhận biết và phòng tránh, người tiêu dùng cần lưu ý rằng nhân viên giao hàng chính thống không bao giờ yêu cầu khách hàng chuyển khoản vào tài khoản cá nhân trước khi nhận hàng. Nếu gặp tình huống yêu cầu đóng phí bổ sung hoặc cung cấp mã OTP để hoàn tất giao dịch, người mua phải lập tức dừng lại và xác minh thông tin qua ứng dụng chính thức của đơn vị vận chuyển.

Khi bị lừa, người dân cần giữ lại toàn bộ bằng chứng, trình báo cơ quan công an gần nhất hoặc liên hệ với các đường dây nóng để được hỗ trợ xử lý. Thông tin và cảnh báo từ các cơ quan chức năng cũng như báo chí đã được đưa ra để nâng cao cảnh giác của người dân trước những thủ đoạn lừa đảo tinh vi này. Bằng cách tăng cường kiến thức và cẩn thận trong giao dịch trực tuyến, người tiêu dùng có thể bảo vệ bản thân khỏi những kẻ lừa đảo.

Nhìn chung, việc người dân trở thành nạn nhân của những kẻ lừa đảo do không đủ kiến thức và cảnh giác là điều đáng tiếc. Hy vọng rằng qua những thông tin này, người dân sẽ có thêm kiến thức để phòng tránh và không trở thành nạn nhân của những thủ đoạn lừa đảo giả mạo shipper.

Ngày nay, các nhà sản xuất ô tô không ngừng giới thiệu công nghệ dịch vụ kết nối hiện đại mà màn hình cảm ứng kỹ thuật số mang lại cho người dùng. Tuy nhiên, một nghiên cứu mới cho thấy nhiều người không muốn tìm hiểu và chắc chắn không muốn trả tiền cho nó. Lý do chính cho vấn đề này là không muốn móc hầu bao và lo ngại về việc bị lộ thông tin cá nhân.

Các nhà sản xuất ô tô thường cung cấp kết nối miễn phí từ 1 đến 3 năm, sau đó người dùng phải đăng ký gói thuê bao để tiếp tục sử dụng công nghệ. Tuy nhiên, dữ liệu từ S&P Global Mobility cho thấy số lượng người đăng ký thuê bao đã giảm trong năm 2025, năm thứ hai liên tiếp. Chỉ 68% số người được hỏi trong năm nay cho biết họ sẽ trả tiền cho các dịch vụ kết nối, giảm so với tỷ lệ 86% của năm 2024.

Một cuộc khảo sát của S&P Global Mobility đã được thực hiện để xem các tài xế đã sử dụng dịch vụ kết nối miễn phí, có đăng ký trả phí, chưa sử dụng bao giờ hay không biết đến dịch vụ này. Tại Mỹ và các nước phương Tây khác, bao gồm Anh, Đức và Pháp, cũng như Nhật Bản và Brazil, những người trả lời rằng họ không mua quyền truy cập vào các dịch vụ kết nối là nhóm lớn nhất.

Tuy nhiên, tài xế Mỹ là những người có khả năng đăng ký dịch vụ cao nhất, với 19% cho biết họ đang sử dụng bản miễn phí và 35% cho biết họ đang trả tiền cho các dịch vụ, so với tỷ lệ 38% cho biết không sử dụng dịch vụ. Trung Quốc, Hàn Quốc và Ấn Độ có tỷ lệ người dùng cao hơn.

Các tài xế tham gia khảo sát đã đưa ra một vài lý do cho việc họ không muốn trả tiền cho các dịch vụ kết nối, và một trong những lý do chính là yếu tố “trả phí”. Họ cũng không thích các tính năng tích hợp sẵn trên xe nhưng lại phải trả tiền mới dùng được.

Quyền riêng tư cũng là một mối quan tâm lớn khác, khi các tài xế bày tỏ lo ngại về việc dữ liệu cá nhân của họ có thể bị thu thập, lưu trữ và sử dụng. Nghiên cứu cho thấy những tài xế đã trải nghiệm dịch vụ kết nối nhìn chung đều hài lòng, mặc dù ở mức độ thấp hơn so với những năm trước.

Các nhà sản xuất ô tô, như GM và Stellantis, những hãng từng dự đoán sẽ kiếm được khoảng 23-25 triệu USD mỗi năm thông qua hình thức thu phí dịch vụ kết nối, sẽ phải nỗ lực hơn nữa để thu hút người dùng.

Trong thời đại công nghệ số hiện nay, vấn đề an toàn dữ liệu cá nhân đang trở thành một thách thức lớn và cấp thiết. Các hệ thống thông tin quan trọng, dữ liệu cá nhân, cũng như các nền tảng số của cơ quan nhà nước và doanh nghiệp đang phải đối mặt với nguy cơ bị tấn công và thao túng. Mặc dù đã áp dụng các biện pháp bảo vệ chuyên nghiệp và chặt chẽ cho các hệ thống thông tin trọng yếu, nhưng dữ liệu cá nhân vẫn còn tồn tại nhiều lỗ hổng lớn cần được xử lý.

Ngày nay, điện thoại di động thông minh đã trở thành một phần thiết yếu và không thể thiếu trong cuộc sống hàng ngày của con người. Những thiết bị này chứa một lượng lớn thông tin và dữ liệu liên quan đến người dùng. Tuy nhiên, nhiều người dùng vẫn chưa thật sự nhận thức được tầm quan trọng của việc bảo vệ dữ liệu cá nhân của mình. Mới đây, ứng dụng CapCut đã thực hiện cập nhật điều khoản sử dụng, cho phép ứng dụng giữ lại các video, âm thanh và hiệu ứng do người dùng tạo ra, ngay cả khi người dùng đó chưa từng chia sẻ chúng lên ứng dụng.

Thực tế cho thấy, không chỉ CapCut mà còn rất nhiều ứng dụng khác cũng âm thầm kiểm soát và thu thập dữ liệu người dùng thông qua các điều khoản khi người dùng đăng ký sử dụng dịch vụ. Đặc biệt là các ứng dụng miễn phí, chúng thường thu thập dữ liệu người dùng một cách rộng rãi. Nhiều người dùng không quan tâm đến những yếu tố này và cài đặt ứng dụng một cách vô tội vạ, bao gồm cả những ứng dụng không thực sự cần thiết. Đây chính là lỗ hổng lớn cho vấn đề an ninh dữ liệu cá nhân, vì người dùng đã vô tình chia sẻ thông tin một cách không cần thiết.

Sự việc này không chỉ gây ảnh hưởng ở mức độ cá nhân, mà khi những ứng dụng “bòn rút” dữ liệu của nhiều cá nhân ở một quy mô rộng lớn, nó sẽ trở thành mối nguy chung, thậm chí là ở tầm quốc gia. Do đó, cơ quan chức năng cần tăng cường các biện pháp tuyên truyền và hướng dẫn để người dân tự xây dựng và nâng cao ý thức bảo vệ an ninh dữ liệu cá nhân. Việc nâng cao nhận thức và có các biện pháp bảo vệ dữ liệu cá nhân sẽ giúp bảo vệ người dùng cũng như toàn bộ cộng đồng.