Theo ghi nhận của công ty an ninh mạng Trellix (hợp nhất từ FireEye và McAfee Enterprise), 6 tháng nửa sau năm 2025, có sự "gia tăng đột biến" trong việc sử dụng kỹ thuật BitB để lừa đảo đánh cắp tài khoản Facebook - mạng xã hội hiện có hơn ba tỷ người dùng. Các đối tượng xấu thường đánh cắp tài khoản Facebook để phát tán chiêu trò lừa đảo, thu thập dữ liệu cá nhân hoặc thực hiện hành vi gian lận danh tính.
Minh họa hacker tấn công tài khoản Facebook. Ảnh: Gemini
BitB, hay Browser-in-the-Browser, là kỹ thuật giả mạo giao diện cửa sổ đăng nhập của trình duyệt ngay bên trong một trang web đang mở, khiến người dùng tưởng rằng mình đang đăng nhập Facebook thật, trong khi toàn bộ thông tin được nhập trực tiếp vào tay kẻ tấn công.
Theo Bleeping Computer, khác với phishing truyền thống (chuyển sang website giả), BitB không chuyển trang mà dựng một cửa sổ trình duyệt giả bằng HTML/CSS/java script. Việc mô phỏng giao diện xác thực của các nền tảng hợp pháp, có thể được tùy chỉnh với tiêu đề cửa sổ và liên kết (URL) khiến việc phát hiện hành vi lừa đảo trở nên khó khăn hơn.
Cụ thể, theo mô tả của Trellix, cuộc tấn công thường bắt đầu bằng một email lừa đảo, có thể được ngụy trang dưới dạng thư gửi từ một công ty luật. Email này chứa một thông báo pháp lý giả mạo về một video vi phạm bản quyền, kèm liên kết dưới dạng link đăng nhập Facebook. Nạn nhân cũng có thể nhận các email tương tự, chẳng hạn cảnh báo vi phạm tiêu chuẩn cộng đồng, có hành vi đăng nhập "đáng ngờ" hoặc thông báo cập nhật bảo mật/kiểm tra hệ thống. Ảnh: Trellix
Để tiếp tục "né tránh" hệ thống và tăng "mức độ uy tín", kẻ gian sử dụng liên kết dưới dạng URL rút gọn, sau đó chuyển hướng thông qua trang giả mạo chứa logo Meta và xác thực captcha. Ảnh: Trellix
Cuộc tấn công yêu cầu người dùng đăng nhập bằng cửa sổ pop-up của Facebook. Đây là điểm mấu chốt, vì pop-up này chứa URL thật của Facebook khiến người dùng không nghi ngờ. Nếu nhập vào các thông tin đăng nhập, người dùng lập tức bị đánh cắp tài khoản. Ảnh: Trellix
Song song đó, Trellix cũng phát hiện một lượng lớn website lừa đảo được lưu trữ trên các nền tảng đám mây hợp pháp như Netlify và Vercel. Chúng bắt chước cổng thông tin Trung tâm Bảo mật (Privacy Center) của Meta, chuyển hướng người dùng đến các trang được ngụy trang dưới dạng biểu mẫu khiếu nại nhằm thu thập thông tin cá nhân.
"Sự thay đổi then chốt nằm ở việc lạm dụng cơ sở hạ tầng đáng tin cậy, dùng dịch vụ lưu trữ đám mây hợp pháp cùng các công cụ rút gọn URL để vượt qua bộ lọc bảo mật truyền thống, tạo ra cảm giác an toàn giả tạo", theo Trellix. "Quan trọng hơn, kỹ thuật BitB thể hiện một sự leo thang nghiêm trọng. Bằng cách tạo ra cửa sổ đăng nhập giả mạo bên trong trình duyệt, phương pháp này lợi dụng các quy trình xác thực quen thuộc, khiến việc đánh cắp thông tin đăng nhập rất khó cảnh giác".
Meta, công ty đứng sau Facebook, chưa đưa ra bình luận.
Trellix khuyến cáo, khi nhận được các cảnh báo bảo mật hoặc thông báo vi phạm liên quan đến tài khoản, người dùng nên sao chép và mở liên kết bằng tab riêng thay vì click trực tiếp vào link. Khi nhận yêu cầu nhập thông tin đăng nhập trong cửa sổ bật lên, hãy kiểm tra xem cửa sổ đó có thể di chuyển ra ngoài trình duyệt hay không. Các iframe, vốn là yếu tố quan trọng nhất khi thực hiện thủ thuật BitB, được kết nối với cửa sổ bên dưới và không thể kéo ra ngoài. Ngoài ra, người dùng cần bật tính năng xác thực hai yếu tố để tăng thêm lớp bảo mật cho tài khoản.
Bảo Lâm (theo Trellix Blog, Bleeping Computer)
- Meta: Xóa avatar Facebook không phải biện pháp bảo mật tài khoản
- Tin đồn 'xóa ảnh đại diện Facebook để tránh bị hack'
- Facebook tính phí người dùng chia sẻ đường link
- Facebook gỡ 5,4 triệu bài đăng lừa đảo, gian lận tại Việt Nam
- Meta có thể 'kiếm được 16 tỷ USD từ quảng cáo lừa đảo'
