Cảnh báo về chiến dịch lừa đảo tuyển dụng việc làm qua email

Một chiến dịch lừa đảo phishing tinh vi đang nhắm đến những người đang tìm việc thông qua email tuyển dụng giả mạo, sử dụng danh tiếng của các thương hiệu toàn cầu như Red Bull để tạo sự tin tưởng và lừa bịp người nhận. Chiến dịch này sử dụng cách tiếp cận mới, khác biệt với các hình thức lừa đảo trước đây thường dễ dàng bị phát hiện.

Email trong chiến dịch này được gửi từ domain post.xero.com, một địa chỉ thuộc hệ thống hợp pháp và đã vượt qua các cơ chế xác minh như SPF, DKIM và DMARC. Việc này giúp email không bị hệ thống lọc đánh dấu là đáng ngờ và dễ dàng xuất hiện trong hộp thư chính của người dùng. Email giới thiệu một vị trí ‘Social Media Manager’ làm việc từ xa với mô tả rõ ràng, lời lẽ lịch sự và ngữ cảnh hợp lý, đặc biệt phù hợp với xu hướng tuyển dụng hiện tại sau đại dịch Covid-19.

Khi người dùng nhấp vào liên kết trong thư, họ sẽ được đưa qua một trang reCAPTCHA và sau đó chuyển tiếp đến một giao diện mô phỏng Glassdoor. Trang web này được thiết kế gần như không khác gì trang web chính thức, từ màu sắc đến bố cục, khiến người dùng rất khó phát hiện ra dấu hiệu bất thường. Sau khi nhấn nút ‘Apply’, người dùng sẽ được chuyển đến một trang đăng nhập Facebook. Tại đây, nếu người dùng điền thông tin đăng nhập, dữ liệu sẽ không được gửi đến Facebook mà bị chuyển thẳng về máy chủ của kẻ tấn công mà người dùng không hề hay biết.

Phía sau các trang giả mạo là một hạ tầng tấn công được triển khai bài bản. Tên miền độc hại được đăng ký gần đây và máy chủ đặt tại AS-63023, một mạng IP từng liên quan đến nhiều chiến dịch tấn công ngắn hạn. Chứng chỉ HTTPS hợp lệ được cấp qua Let’s Encrypt, loại bỏ hoàn toàn cảnh báo bảo mật thường thấy. Dấu vết TLS fingerprint cho thấy sự trùng khớp với các trang giả mạo khác từng nhắm vào người dùng Meta và MrBeast, cho thấy đây là một bộ kit lừa đảo có sẵn thuộc mô hình phishing-as-a-service.

Để tránh trở thành nạn nhân của các chiến dịch lừa đảo dạng này, người dùng cần lưu ý một số điểm quan trọng:

– Không đăng nhập vào tài khoản cá nhân như Facebook hoặc Google thông qua bất kỳ đường dẫn nào trong email tuyển dụng, trừ khi đã xác minh rõ ràng nguồn gửi.

– Kiểm tra kỹ địa chỉ email người gửi, đặc biệt phần tên miền, và so sánh với thông tin chính thức của công ty.

– Quan sát tên miền của trang web trước khi nhập thông tin. Những tên miền dài bất thường, chứa cụm từ lạ hoặc lệch so với tên thương hiệu là dấu hiệu cần cảnh giác.

– Không vội tin vào lời mời việc làm có nội dung quá hấp dẫn, nhất là khi trùng hợp với thời điểm nhạy cảm như vừa gửi CV hoặc đang thất nghiệp.

– Tìm kiếm thông tin tuyển dụng thông qua website chính thức của công ty thay vì nhấp vào đường link trong email.

– Nếu cảm thấy nghi ngờ, nên dừng lại và hỏi ý kiến từ nguồn đáng tin cậy như đồng nghiệp, quản trị viên CNTT hoặc diễn đàn chuyên môn.

Các chiến dịch phishing hiện nay không còn được phát tán ồ ạt một cách ngẫu nhiên như trước mà đang dần chuyển sang hình thức nhắm mục tiêu cụ thể, được thiết kế tinh vi và khó phát hiện hơn nhiều. Một lời mời làm việc, nếu không được kiểm chứng kỹ, có thể trở thành cánh cửa mở cho hành vi đánh cắp danh tính và truy cập trái phép vào hệ thống cá nhân hoặc doanh nghiệp.

Khi niềm tin vào thương hiệu bị lợi dụng, việc nhìn thấy một logo quen thuộc trong email không còn đồng nghĩa với sự an toàn. Sự thận trọng vẫn là lớp bảo vệ đầu tiên và hiệu quả nhất trước các hình thức lừa đảo ngày càng tinh vi.

Lừa đảo qua mạng xã hội đang trở thành một vấn đề ngày càng nghiêm trọng, đặc biệt là khi các đối tượng lừa đảo lợi dụng tâm lý nóng vội của người tiêu dùng trong việc “săn” giá rẻ vào phút chót. Một trong những thủ đoạn phổ biến hiện nay là tạo ra các fanpage giả mạo trên các nền tảng mạng xã hội, trong đó có Facebook, với mục đích tạo lòng tin và lừa đảo người dùng.

Các fanpage giả mạo này thường được thiết kế để giống hệt với các trang chính thức của các công ty du lịch hoặc khách sạn, thậm chí còn có tích xanh để tạo lòng tin cho người dùng. Chúng đăng tải các chương trình du lịch gần giống với các cơ sở chính thống và yêu cầu người dùng chuyển cọc trước 50% để đặt phòng. Tuy nhiên, sau khi nhận được tiền, các đối tượng lừa đảo sẽ gửi mã đặt phòng giả và cắt đứt liên lạc với người dùng.

Để thực hiện việc lừa đảo này, các đối tượng thường sao chép nội dung bài đăng, hình ảnh và quy trình đặt phòng và thanh toán từ trang chính thống. Sau đó, chúng chạy quảng cáo trên Facebook với nội dung hấp dẫn và đánh vào tâm lý ham rẻ của người dùng. Khi giao dịch xong, các đối tượng thông báo hết phòng và hướng dẫn nạn nhân liên hệ với “kế toán” để được hoàn tiền. Tuy nhiên, khi khách gọi, chúng yêu cầu cung cấp thông tin tài khoản hoặc gửi link thanh toán qua cổng trung gian như VnPay để tạo cảm giác hợp lệ.

Nhiều người đã trở thành nạn nhân của hình thức lừa đảo này và mất thêm tiền hoặc lộ dữ liệu tài chính do lo lắng muốn lấy lại tiền và làm theo yêu cầu của đối tượng. Chỉ khi nghi ngờ hoặc không liên lạc được với “bên đặt phòng”, nạn nhân mới gọi đến hotline chính thức của khách sạn để xác minh, nhưng lúc đó thường đã quá muộn.

Để nhận biết fanpage lừa đảo, người dùng cần chú ý đến các dấu hiệu như tương tác bất thường (nhiều lượt thích nhưng ít hoặc không có bình luận thật), thông tin “Giới thiệu” không rõ ràng (do nước ngoài quản lý hoặc mới lập) và số điện thoại không khớp với website chính thức. Người dùng nên kiểm tra mục “Tính minh bạch của Trang” để xem người quản lý trang và lịch sử đổi tên fanpage. Điều này có thể giúp người dùng tránh trở thành nạn nhân của các hình thức lừa đảo qua mạng xã hội.

Facebook và các nền tảng mạng xã hội khác đã trở thành mục tiêu phổ biến cho các hoạt động lừa đảo. Người dùng cần nâng cao cảnh giác và không nên ham rẻ khi thấy các chương trình khuyến mãi hấp dẫn. Thay vào đó, họ nên tìm hiểu kỹ về các chương trình du lịch và đặt phòng thông qua các kênh chính thức.