Một chiến dịch lừa đảo tinh vi đang chiếm quyền các tài khoản X của nhân vật tiền điện tử bằng cách lợi dụng cơ chế ủy quyền ứng dụng của X, vượt qua xác thực hai yếu tố và tạo độ tin cậy cao.
Thay vì đánh cắp mật khẩu qua trang đăng nhập giả, kẻ tấn công dùng liên kết trông như Google Calendar để hướng người dùng đến trang ủy quyền ứng dụng trên X, từ đó lấy Token truy cập với quyền điều khiển toàn diện tài khoản.
- Chiến dịch lợi dụng ủy quyền OAuth của X, bỏ qua 2FA và dùng metadata để hiển thị xem trước như Google Calendar.
- Dấu hiệu nhận biết: URL lạ xuất hiện thoáng qua, tên ứng dụng dùng ký tự Cyrillic, bộ quyền truy cập quá rộng và chuyển hướng về calendly.com.
- Cách xử lý: Vào trang ứng dụng đã kết nối của X, thu hồi mọi ứng dụng “Calendar” đáng ngờ; tăng kiểm soát truy cập OAuth và cảnh giác với yêu cầu cấp quyền.
Chiến dịch lừa đảo mới trên X là gì?
Đây là chiến dịch chiếm quyền tài khoản dựa trên ủy quyền ứng dụng, được phát hiện bởi nhà phát triển Zak Cole và xác nhận bởi nhà nghiên cứu bảo mật MetaMask Ohm Shah qua các bài đăng trên X, nhắm vào nhân vật tiền điện tử và cả người nổi tiếng.
Cụ thể, kẻ tấn công gửi tin nhắn trực tiếp trên X kèm liên kết giả mạo Google Calendar, nhưng thực chất trỏ đến miền x(.)ca-lendar(.)com, rồi chuyển hướng sang điểm cuối xác thực của X để xin cấp quyền cho một ứng dụng mạo danh “Calendar”. Điều này không cần trang đăng nhập giả, nên khó bị phát hiện hơn.
Ohm Shah cho biết đã thấy tấn công diễn ra ngoài thực tế, cùng lúc một người mẫu OnlyFans cũng bị nhắm đến bởi biến thể kém tinh vi hơn. Điều này cho thấy chiến dịch có phạm vi rộng và đang hoạt động tích cực.
“Phát hiện bằng không. Đang hoạt động ngay bây giờ. Chiếm quyền tài khoản hoàn toàn.”
– Zak Cole, nhà phát triển tiền điện tử, bài đăng trên X, thứ 4, nguồn: https://x.com/0xzak/status/1970878159471182051
Vì sao chiến dịch này có thể vượt 2FA và trông đáng tin?
Vì nó dựa trên cơ chế ủy quyền ứng dụng (OAuth) chính chủ của X: sau khi người dùng đã đăng nhập và vượt 2FA, việc cấp quyền cho ứng dụng sẽ phát sinh Token hợp lệ, khiến 2FA không còn là rào cản.
Khác với phishing truyền thống, chiến dịch không yêu cầu nhập mật khẩu. Thay vào đó, nó dùng metadata trang để X hiển thị xem trước như calendar.google.com, đánh vào niềm tin thị giác của người dùng. Sau cú nhấp, nạn nhân thấy màn hình ủy quyền ứng dụng chính chủ của X, nên khó nghi ngờ.
Đây là dạng consent phishing từng được các hãng bảo mật cảnh báo: kẻ tấn công dụ người dùng tự nguyện cấp quyền cho app độc hại thông qua quy trình hợp pháp của nền tảng (Nguồn: Microsoft Security, 2020; Google Cloud, tài liệu OAuth 2.0).
Kịch bản tấn công diễn ra như thế nào?
Chuỗi tấn công điển hình: tin nhắn X gửi link giả Google Calendar, người dùng nhấp, trang JavaScript chuyển hướng đến điểm cuối xác thực của X và hiển thị yêu cầu ủy quyền ứng dụng “Calendar”.
Tên ứng dụng mạo danh dùng hai ký tự Cyrillic trông giống chữ “a” và “e”, khiến nó khác với ứng dụng “Calendar” thật trong hệ thống X. Khi nạn nhân cấp quyền, app nhận được quyền điều khiển rộng, sau đó còn chuyển hướng về calendly.com, cho thấy sự bất nhất giữa giao diện giả Google Calendar và đích đến thực sự.
Sự kết hợp giữa xem trước đáng tin, quy trình ủy quyền chính chủ và kỹ thuật giả mạo bằng ký tự đồng hình (homoglyph) khiến nạn nhân khó phát hiện cho đến khi tài khoản đã bị chiếm.
Dấu hiệu nhận biết quan trọng là gì?
Các dấu hiệu chính: URL thật lộ ra thoáng chốc trước khi chuyển hướng, bộ quyền yêu cầu quá rộng so với nhu cầu lịch, tên ứng dụng “Calendar” kỳ lạ dùng ký tự Cyrillic, và chuyển hướng đích về calendly.com.
Cụ thể, liên kết thật là x(.)ca-lendar(.)com mới được đăng ký gần đây, còn bản xem trước trên X hiển thị calendar.google.com là do bị lợi dụng metadata. Trên trang ủy quyền, app xin quyền theo dõi/hủy theo dõi, chỉnh hồ sơ, tạo/xóa bài, tương tác bài viết… vượt xa chức năng lịch.
Sau khi cấp quyền, trình duyệt bị chuyển về calendly.com, trong khi trước đó giao diện nhắc đến Google Calendar. Sự không nhất quán này là “cờ đỏ” cho người dùng cẩn trọng, như Zak Cole lưu ý.
Làm thế nào để kiểm tra và thu hồi quyền truy cập?
Hãy vào trang ứng dụng đã kết nối của X và thu hồi mọi app tên “Calendar” đáng ngờ, nhất là app dùng ký tự lạ. Đây là bước đầu tiên để ngắt quyền truy cập Token của kẻ tấn công.
Liên kết kiểm tra: https://twitter.com/settings/connected_apps. Tại đây, rà soát kỹ những app có tên gần giống “Calendar”, nhất là khi có hai ký tự Cyrillic trông như “a” và “e”. Thu hồi ngay nếu bạn không tự cài đặt hoặc nghi ngờ.
Sau đó, đổi mật khẩu, bật lại 2FA, kiểm tra email khôi phục, khóa đăng nhập từ thiết bị lạ và xem lại lịch sử hoạt động tài khoản. Cân nhắc bật cảnh báo đăng nhập và giới hạn tin nhắn từ người lạ.
Cơ chế kỹ thuật: Unicode đồng hình và ủy quyền OAuth hoạt động ra sao?
Kẻ tấn công dùng ký tự đồng hình Unicode (chữ Cyrillic giống chữ Latin) để mạo danh tên ứng dụng hợp pháp, đánh lừa mắt người dùng nhưng khác hoàn toàn về mặt kỹ thuật đối với hệ thống.
Về ủy quyền OAuth, khi người dùng đã đăng nhập, việc chấp thuận phạm vi quyền sẽ tạo Token truy cập cho ứng dụng. Token này cho phép hành động thay mặt người dùng mà không cần lặp lại 2FA, nên được xem là “vượt” 2FA về hiệu quả kiểm soát tài khoản.
Các tổ chức lớn đã khuyến nghị kiểm soát ứng dụng bên thứ 3, phân loại rủi ro và hạn chế quyền quá mức để giảm thiểu consent phishing (Nguồn: Google Workspace Admin, OAuth app access control; Microsoft Security, 2020).
Ai đang bị nhắm đến và mức độ lan rộng ra sao?
Mục tiêu chính là các nhân vật tiền điện tử trên X, nơi tầm ảnh hưởng và tài khoản có giá trị cao. Một người mẫu OnlyFans cũng bị nhắm tới bằng biến thể kém tinh vi hơn, cho thấy phạm vi không chỉ giới hạn trong cộng đồng tiền điện tử.
Ohm Shah, nhà nghiên cứu bảo mật MetaMask, xác nhận đã thấy chiến dịch hoạt động ngoài thực tế, gợi ý đây không phải sự cố đơn lẻ. Những chiến dịch kiểu này thường nhanh chóng mở rộng khi tỷ lệ thành công cao.
Cộng đồng nên chủ động cảnh báo lẫn nhau, đặc biệt các tài khoản có lượng theo dõi lớn, quản trị cộng đồng, dự án Web3 và sàn giao dịch, vì tác động lan truyền có thể đáng kể.
“Đã thấy tấn công diễn ra ngoài thực tế”, cho thấy đây là chiến dịch có quy mô chứ không phải trường hợp cá biệt.
– Ohm Shah, nhà nghiên cứu bảo mật MetaMask, bài đăng trên X, thứ 4, nguồn: https://x.com/0xOhm_eth/status/1970896794990321725
Lời khuyên thực hành tốt nhất để phòng tránh
Ưu tiên kiểm soát ứng dụng OAuth: chỉ cấp quyền cho nhà phát triển tin cậy, xem kỹ phạm vi quyền, và thường xuyên rà soát, thu hồi quyền không cần thiết. Tắt xem trước link tự động nếu có thể và kiểm tra URL thật trước khi nhấp.
Áp dụng nguyên tắc tối thiểu quyền: nếu một app lịch xin quyền đăng, xóa, tương tác bài viết, hãy từ chối. Dùng danh sách cho phép (allowlist) cho ứng dụng bên thứ 3 ở quy mô tổ chức để giảm bề mặt tấn công (Nguồn: Google Workspace Admin, OAuth app access control; NIST SP 800-63B tham chiếu thực hành xác thực).
Huấn luyện nhận diện consent phishing: phân biệt giữa đăng nhập giả và ủy quyền thật nhưng độc hại. Kênh nhắn tin lạ mời lịch hẹn, tài liệu, quà tặng nên được kiểm chứng qua kênh thứ 2 trước khi thao tác.
So sánh: OAuth phishing khác gì so với trang đăng nhập giả mạo?
OAuth phishing không đánh cắp mật khẩu; nó dụ bạn cấp quyền cho ứng dụng. Trang giả mạo đăng nhập ăn cắp thông tin xác thực. Cả hai đều nguy hiểm, nhưng OAuth phishing khó phát hiện hơn vì diễn ra trên luồng hợp pháp.
| Tiêu chí | OAuth phishing (consent) | Trang đăng nhập giả |
|---|---|---|
| Mục tiêu | Token và quyền ứng dụng | Mật khẩu/totp |
| Vượt 2FA | Dễ, vì Token có sau 2FA | Khó hơn, cần đánh cắp mã 2FA |
| Trải nghiệm | Luồng ủy quyền chính chủ | Trang đăng nhập giả mạo |
| Dấu hiệu | Quyền quá mức, tên app lạ | URL, chứng chỉ, UI lệch |
| Khắc phục | Thu hồi app/Token | Đổi mật khẩu, thu hồi session |
Cách phản ứng nhanh khi lỡ cấp quyền
Ngay lập tức vào trang ứng dụng đã kết nối của X để thu hồi ứng dụng lạ, đổi mật khẩu, kiểm tra email khôi phục và khóa phiên đăng nhập lạ. Sau đó, bật cảnh báo bảo mật và rà soát hoạt động gần đây.
Thông báo cho người theo dõi về rủi ro nếu tài khoản đã đăng nội dung lừa đảo. Tăng kiểm soát trên ứng dụng và trình quản lý mật khẩu, bật khóa đăng nhập nâng cao nếu nền tảng hỗ trợ.
Cuối cùng, báo cáo liên kết và tài khoản gửi tin nhắn đến X để hỗ trợ xử lý chiến dịch lừa đảo đang hoạt động.
Câu hỏi thường gặp
Vì sao kẻ tấn công vượt được 2FA?
Vì họ dùng ủy quyền ứng dụng của X. Sau khi bạn đã đăng nhập và vượt 2FA, việc cấp quyền tạo ra Token cho app, cho phép thao tác thay bạn mà không cần 2FA bổ sung (Nguồn: Google Cloud, OAuth 2.0).
Dấu hiệu nào giúp nhận biết app “Calendar” giả?
Tên ứng dụng dùng ký tự Cyrillic giống “a”, “e”, quyền yêu cầu quá rộng (đăng, xóa bài, đổi hồ sơ), và chuyển hướng về calendly.com dù hiển thị Google Calendar trong xem trước.
Tôi đã nhấp liên kết, cần làm gì ngay?
Vào trang ứng dụng đã kết nối của X, thu hồi mọi app “Calendar” đáng ngờ, đổi mật khẩu, bật 2FA, kiểm tra hoạt động và phiên đăng nhập lạ. Cảnh báo người theo dõi nếu tài khoản đã bị lạm dụng để đăng bài.
Chiến dịch này nhắm vào ai?
Chủ yếu là nhân vật tiền điện tử trên X, nhưng biến thể kém tinh vi đã chạm đến người nổi tiếng khác. Nhà nghiên cứu MetaMask xác nhận đã thấy tấn công ngoài thực tế.
Làm sao giảm rủi ro ở cấp tổ chức?
Dùng allowlist cho ứng dụng bên thứ 3, chặn app chưa được phê duyệt, huấn luyện nhận diện consent phishing, và rà soát định kỳ quyền ứng dụng (Nguồn: Google Workspace Admin, OAuth app access control).
