Người dùng X bị lừa đảo bằng app giả mạo, chiếm quyền và vượt 2FA

Một chiến dịch lừa đảo tinh vi lợi dụng cơ chế ủy quyền ứng dụng trên nền tảng X đã vượt qua mật khẩu và xác thực hai yếu tố để chiếm quyền nhiều tài khoản liên quan đến tiền điện tử.

Kẻ tấn công dụ người dùng ủy quyền ứng dụng giả mang tên “Calendar” qua liên kết mạo danh Google Calendar; ứng dụng yêu cầu toàn quyền kiểm soát. Người dùng nên kiểm tra và thu hồi ngay ứng dụng đáng ngờ trên trang ủy quyền của X để hạn chế thiệt hại.

Cách hoạt động của cuộc tấn công

Kẻ tấn công gửi liên kết giả mạo mượn tên Google Calendar, yêu cầu người dùng ủy quyền ứng dụng “Calendar” để truy cập tài khoản X.

Liên kết chứa ký tự đánh lừa và quyền truy cập rộng (toàn quyền kiểm soát), cấp Token truy cập cho ứng dụng độc hại; nhờ Token, kẻ xấu có thể thao túng hoặc đăng nhập mà không cần mật khẩu hay 2FA.

Ai chịu rủi ro và hậu quả

Mọi người dùng X, đặc biệt những tài khoản liên quan tới hoạt động tiền điện tử, đều có thể bị ảnh hưởng khi chấp thuận ứng dụng độc hại.

Hậu quả gồm mất quyền kiểm soát tài khoản, rò rỉ thông tin nhạy cảm, hoặc thiệt hại tài sản nếu tài khoản được dùng để điều hướng giao dịch liên quan tới tiền điện tử.

Cách kiểm tra và xử lý nếu bạn có thể đã bị ảnh hưởng

Truy cập trang “Ứng dụng đã ủy quyền” trên X, tìm và thu hồi bất kỳ ứng dụng lạ tên “Calendar” hoặc ứng dụng không rõ nguồn; đổi mật khẩu và thu hồi Token.

Bật lại xác thực hai yếu tố nếu cần, rà soát hoạt động đăng nhập, thông báo cho nền tảng và các dịch vụ liên quan nếu phát hiện giao dịch bất thường.

Làm sao nhận biết liên kết mạo danh Google Calendar?

Liên kết mạo danh thường chứa ký tự lạ, tên miền không chính thức hoặc yêu cầu quyền truy cập vượt mức; kiểm tra kỹ đường dẫn trước khi ủy quyền.

Nếu đã ủy quyền ứng dụng “Calendar”, bước đầu cần làm gì?

Vào trang ứng dụng ủy quyền của X và thu hồi ứng dụng, đổi mật khẩu, kiểm tra hoạt động đăng nhập và liên hệ hỗ trợ nền tảng nếu cần.

Việc bật hay tắt 2FA có ngăn được loại tấn công này không?

2FA giúp bảo vệ đa phần trường hợp nhưng không ngăn được nếu Token truy cập đã được cấp qua ủy quyền ứng dụng; luôn kiểm tra quyền ứng dụng đã ủy quyền.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.