Một bài chia sẻ gần đây trên diễn đàn Reddit đang khiến cộng đồng creator “giật mình” khi phơi bày một kịch bản phishing cực kỳ tinh vi. Chỉ sau vài bước đăng nhập tưởng như bình thường, toàn bộ tài khoản Google và kênh YouTube có thể bị chiếm quyền hoàn toàn. Điều đáng nói là đây không phải trường hợp hiếm, mà đang dần trở thành một chiêu thức tấn công phổ biến.
Theo nội dung được đăng tải, hacker đã bắt đầu bằng một email mời hợp tác từ một “thương hiệu” trông khá uy tín. Nạn nhân được dẫn tới trang đăng nhập Google để xác nhận quyền truy cập. Ngay sau khi hoàn tất đăng nhập, quyền kiểm soát tài khoản gần như bị chiếm đoạt tức thì. Chỉ trong vài giây, hacker có thể đổi mật khẩu, xóa passkey, thay email và số điện thoại khôi phục, từ đó loại bỏ hoàn toàn chủ tài khoản ra ngoài.
Kịch bản phishing này đã đánh trúng tâm lý người dùng, đặc biệt là các creator luôn sẵn sàng trước những lời mời hợp tác hay cơ hội kiếm tiền. Chỉ cần một chút chủ quan, cộng thêm giao diện đăng nhập giả được làm gần như giống hệt bản thật, nạn nhân rất khó nhận ra. Mọi thứ lại diễn ra dồn dập, kèm theo yêu cầu đăng nhập hoặc cấp quyền ngay lập tức, tạo cảm giác cấp bách khiến người dùng không kịp kiểm tra kỹ.
Chính vì vậy, những lớp bảo vệ truyền thống như mật khẩu hay SMS OTP đang dần bộc lộ hạn chế trước các chiêu thức phishing tinh vi. Để giảm rủi ro, người dùng nên:
- Tránh đăng nhập qua các link lạ và luôn kiểm tra kỹ domain
- Chủ động bật xác thực đa lớp (MFA)
- Bổ sung thêm khóa YubiKey – tăng cường lớp bảo mật vật lý
Các thiết bị như khóa bảo mật YubiKey hoạt động dựa trên chuẩn FIDO2/WebAuthn, trong đó việc xác thực phải diễn ra trực tiếp trên phần cứng. Nhờ vậy, ngay cả khi người dùng vô tình đăng nhập vào một trang giả mạo, cũng khó có thể trở thành nạn nhân của các cuộc tấn công phishing. Và đây cũng là lý do ngày càng nhiều nền tảng lớn như Google, Meta (Facebook), Apple… chuyển sang hỗ trợ passkey và khuyến khích sử dụng khóa bảo mật như một lớp bảo vệ mặc định.
Câu chuyện về bẫy phishing mới trên Reddit chính là một lời cảnh báo rõ ràng khi bảo mật không còn là tùy chọn, mà cần được thiết lập đúng ngay từ đầu, trước khi rủi ro thực sự xảy ra. Và DigiBit – Đơn vị phân phối chính thức khóa YubiKey tại Việt Nam sẵn sàng mang đến những sản phẩm chính hãng, giúp bạn bảo vệ tài khoản khỏi các chiến dịch phishing tinh vi.
