Cảnh báo nguy hiểm: Chiến dịch Phishing Google Tasks tinh vi

Một chiến dịch phishing tinh vi đã được triển khai, khai thác thông báo Google Tasks để nhắm mục tiêu vào hơn 3.000 tổ chức trên toàn cầu, chủ yếu trong lĩnh vực sản xuất. Các cuộc tấn công diễn ra vào tháng 12 năm 2025, đánh dấu một sự thay đổi nguy hiểm trong các mối đe dọa dựa trên email, nơi kẻ tấn công lạm dụng cơ sở hạ tầng hợp pháp của Google thay vì giả mạo tên miền hoặc làm giả tiêu đề email.

Kỹ thuật Khai thác Cơ sở hạ tầng Google

Các email lừa đảo có nguồn gốc từ một địa chỉ Google hợp pháp: [email protected]. Điều này cho phép chúng vượt qua tất cả các giao thức xác thực email chính, bao gồm SPF, DKIM, DMARC và CompAuth.

Việc vượt qua thành công các lớp xác thực này đã giúp các thông điệp độc hại đi qua các cổng bảo mật email truyền thống. Các cổng này thường dựa vào uy tín người gửi và độ tin cậy tên miền để phát hiện và ngăn chặn email lừa đảo.

Lạm dụng Dịch vụ Tích hợp Ứng dụng của Google

Kẻ tấn công đã khai thác dịch vụ Application Integration của Google để gửi email từ chính cơ sở hạ tầng của Google. Nhờ đó, các email này thừa hưởng uy tín cao của Google với tư cách là người gửi và được đưa vào danh sách cho phép (allowlisting) phổ quát.

Điều này tạo ra một thách thức lớn cho bảo mật email, bởi vì các công cụ bảo mật thông thường không tìm thấy bất kỳ dấu hiệu đáng ngờ nào để chặn, do người gửi là Google, các kiểm tra xác thực đều vượt qua và không có tệp đính kèm độc hại.

Cơ chế Lừa đảo qua Thông báo Google Tasks

Các email này mạo danh thông báo Google Tasks, trình bày một “Nhiệm vụ dành cho tất cả nhân viên” (All Employees Task) yêu cầu xác minh nhân viên khẩn cấp. Nội dung được thiết kế để tạo cảm giác cấp bách và chính thống.

Người nhận được yêu cầu nhấp vào các nút có nhãn “Xem nhiệm vụ” (View task) hoặc “Đánh dấu hoàn thành” (Mark complete). Việc nhấp vào các nút này sẽ chuyển hướng họ đến một trang độc hại được lưu trữ trên Google Cloud Storage.

Trang Phishing giả mạo và Lưu trữ đám mây

Trang phishing giả mạo đã sao chép thương hiệu Google Tasks với độ chính xác cao. Trang này bao gồm các yếu tố giao diện người dùng quen thuộc, văn bản chân trang hợp pháp và các nút kêu gọi hành động trông rất chân thực.

Các nạn nhân bị chuyển hướng đến các URL được lưu trữ trên Google Cloud Storage (cụ thể là storage.cloud.google.com). Điều này khiến các phương pháp phát hiện dựa trên uy tín URL truyền thống trở nên kém hiệu quả.

Việc lạm dụng các dịch vụ hợp pháp như Google Cloud Storage cho mục đích lừa đảo làm tăng thêm độ phức tạp trong việc nhận diện và ngăn chặn các chiến dịch phishing này.

Yếu tố Tâm lý và Thách thức Bảo mật

Các thông điệp phishing đã sử dụng các yếu tố kích thích tâm lý để khuyến khích hành động ngay lập tức mà không cần kiểm tra kỹ lưỡng. Điều này bao gồm việc tạo ra cảm giác quyền lực (authority framing), chỉ báo khẩn cấp (urgency indicators) và giải thích tối thiểu.

Mối đe dọa mạng này đặt ra một thách thức cơ bản đối với an ninh email. Vì người gửi là Google, các kiểm tra xác thực đều vượt qua, các tên miền được tin cậy và không có tệp đính kèm đáng ngờ, các công cụ bảo mật thông thường không thể chặn.

Phương pháp Phát hiện và Đối phó với Phishing

RavenMail đã phát hiện chiến dịch phishing này bằng cách phân tích sự không khớp ngữ cảnh thay vì chỉ dựa vào uy tín tên miền. Nền tảng bảo mật này đã xác định một số điểm bất thường quan trọng.

Cụ thể, việc Google Tasks được sử dụng cho mục đích xác minh nhân sự là điều bất thường. Ngoài ra, các URL của Cloud Storage không phù hợp với quy trình làm việc hợp pháp của Google Tasks. Việc phân tích ngữ cảnh này là chìa khóa để phát hiện xâm nhập.

Chuyên gia bảo mật cảnh báo rằng tình trạng này không chỉ giới hạn ở Google. Kẻ tấn công ngày càng lạm dụng các nền tảng đáng tin cậy khác, bao gồm Salesforce và Amazon SES, để thực hiện các cuộc tấn công phishing trong các hệ thống hợp pháp.

Xu hướng Mối đe dọa và Thay đổi trong Chiến lược Bảo mật

Các nhà nghiên cứu về mối đe dọa đã ghi nhận các chiến dịch phishing tương tự, lạm dụng Google Classroom, Google Forms và AppSheet để thu thập thông tin xác thực. Điều này cho thấy một xu hướng rõ ràng trong việc lợi dụng lòng tin vào các dịch vụ phổ biến.

Sự chuyển dịch từ việc giả mạo cấp độ hạ tầng sang lạm dụng quy trình làm việc hợp pháp yêu cầu các tổ chức phải suy nghĩ lại về chiến lược bảo mật email của mình. Việc chỉ dựa vào các tín hiệu xác thực truyền thống không còn đủ để bảo vệ khỏi các cuộc tấn công này.

Các tổ chức cần triển khai các giải pháp bảo mật email tiên tiến hơn, có khả năng phân tích ngữ cảnh và hành vi để nhận diện các mối đe dọa ẩn mình trong các kênh giao tiếp tưởng chừng như hợp pháp. Tham khảo thêm về phân tích phishing tại RavenMail Blog.