Bẫy phishing mới: Mất tài khoản YouTube chỉ sau một cú “click”

Một bài chia sẻ gần đây trên diễn đàn Reddit đã khiến cộng đồng creator “giật mình” vì một bẫy phishing cực tinh vi, khiến toàn bộ tài khoản Google và kênh YouTube đã bị hacker chiếm quyền hoàn toàn chỉ sau vài bước đăng nhập. Sự việc không hề hiếm và đáng lo hơn, nó đang trở thành một kịch bản tấn công phổ biến.

Theo chia sẻ từ người dùng trên Reddit, kẻ tấn công đã gửi email mời hợp tác từ một “thương hiệu” có vẻ uy tín. Nạn nhân được yêu cầu đăng nhập Google để xác nhận quyền truy cập. Nhưng ngay sau đó, mọi thứ bị kiểm soát. Chỉ trong vài giây, hacker đã đổi mật khẩu, xóa passkey, thay email và số điện thoại khôi phục, cuối cùng là chiếm toàn quyền truy cập tài khoản.

Kịch bản phishing này đang cho thấy hiệu quả vì đánh trúng tâm lý người dùng, đặc biệt là các creator. Những email mời hợp tác hay cơ hội kiếm tiền thường khiến nạn nhân mất cảnh giác, trong khi trang đăng nhập giả mạo lại được thiết kế gần như giống hệt bản thật nên rất khó phân biệt. Mọi thứ thường diễn ra rất nhanh, kèm theo yêu cầu đăng nhập hoặc cấp quyền ngay lập tức, tạo cảm giác cấp bách khiến người dùng không kịp kiểm tra kỹ.

Và thực tế này cũng đang cho thấy khi người dùng chỉ dựa vào mật khẩu hay SMS OTP là chưa đủ để chống lại các cuộc phishing tinh vi. Cách an toàn nhất hiện nay là:

• Hạn chế đăng nhập qua link lạ
• Kiểm tra kỹ domain và quyền truy cập
• Bật xác thực đa lớp (MFA)
• Sử dụng khóa bảo mật vật lý YubiKey

Những thiết bị như YubiKey hoạt động theo chuẩn FIDO2/WebAuthn, yêu cầu xác thực bằng phần cứng nên gần như miễn nhiễm với phishing, kể cả khi người dùng vô tình truy cập trang giả mạo. Đây cũng là lý do ngày càng nhiều nền tảng lớn khuyến khích hoặc mặc định hỗ trợ passkey và khóa bảo mật.

Trong bối cảnh các cuộc tấn công chiếm quyền tài khoản đang gia tăng, câu chuyện trên Reddit là lời nhắc rõ ràng, bảo mật không còn là chuyện “có cũng được”, mà là thứ cần được thiết lập đúng ngay từ đầu, trước khi mọi thứ trở nên quá muộn.