Đừng bấm vào email Google đó — thay đổi địa chỉ Gmail có thể là lừa đảo

Một chiến dịch lừa đảo mới đang lan rộng nhắm vào người dùng Gmail, dụ họ bấm vào liên kết “thay đổi địa chỉ email Google” giả mạo để đánh cắp tài khoản. Chiêu trò này tinh vi hơn so với các email phishing cổ điển trước đây và rất dễ khiến người dùng sơ ý mất thông tin đăng nhập. 

Chiêu lừa như thế nào?

Theo báo cáo từ các chuyên gia bảo mật, kẻ xấu đang gửi email được thiết kế trông rất giống thông báo chính thức từ Google. Email này thường chứa:

• Địa chỉ người gửi giả mạo hoặc nhìn giống @google.com nhưng thực chất là email lừa;

• Tiêu đề như “Google Account Email Has Been Permanently Changed” (Địa chỉ email Google của bạn đã bị thay đổi vĩnh viễn);

• Thông báo rằng tài khoản của bạn vừa đổi email đăng nhập, và nếu không phải bạn thì hãy “bấm vào đây để khôi phục”.

Nếu người dùng nhấn vào liên kết trong email, họ sẽ được dẫn tới một trang web trông như trang Google thật, nhưng thực tế là trang phishing — nhằm mục đích thu thập tài khoản và mật khẩu của bạn.

Tại sao email này lừa được nhiều người

Chiêu này thành công bởi vì:

• Tạo cảm giác cấp bách — thông báo đã “thay đổi email đăng nhập” khiến người dùng hoảng hốt;

• Giao diện giống thật — email và trang web giả trông rất giống Gmail/Google;

• Người dùng không thường kiểm tra đường dẫn URL — nhiều người chỉ nhìn tiêu đề và bấm theo phản xạ.

Một khi bạn nhập tài khoản và mật khẩu trên trang phishing, kẻ lừa đảo sẽ “ăn ngay” thông tin đăng nhập và có thể:

• Đăng nhập vào tài khoản Gmail của bạn;

• Đổi mật khẩu và khóa bạn khỏi truy cập;

• Xem tin nhắn, ảnh, dữ liệu nhạy cảm;

• Sau đó thực hiện các hành vi lừa đảo khác bằng tài khoản bị chiếm.

Cách nhận biết email phishing này

Đây là vài cách để phân biệt email lừa với email thật từ Google:

1. Kiểm tra địa chỉ người gửi:
   Email chính thức từ Google thường đến từ @google.com rõ ràng. Email phishing có thể dùng tên hiển thị giống thật nhưng địa chỉ email thực tế khác xa.

2. Không bấm trực tiếp vào liên kết:
   Thay vào đó di chuột lên liên kết để xem URL thật, hoặc mở trình duyệt và truy cập https://myaccount.google.com để kiểm tra các thay đổi tài khoản.

3. Không nóng vội làm theo yêu cầu trong email:
   Các email chính thức của Google sẽ luôn cho phép bạn kiểm tra lịch sử hoạt động và thay đổi bảo mật ngay trong trang cài đặt tài khoản — không bao giờ yêu cầu bạn nhập mật khẩu ngay trên email.

Cách bảo vệ tài khoản Google/Gmail của bạn

Để giảm nguy cơ bị tấn công kiểu này, bạn nên:

• Kích hoạt xác thực hai yếu tố (2FA/MFA) — mỗi lần đăng nhập sẽ cần mã thứ hai bên cạnh mật khẩu;

• Không dùng lại mật khẩu trên nhiều dịch vụ khác nhau;

• Đổi mật khẩu định kỳ và sử dụng trình quản lý mật khẩu uy tín;

• Luôn đăng nhập trực tiếp từ trang chính thức của Google thay vì bấm qua email;

• Kiểm tra lịch sử hoạt động và bảo mật tại myaccount.google.com nếu nghi ngờ có truy cập trái phép.

Tóm lại

Các chiến dịch phishing ngày càng tinh vi — đặc biệt những email khai thác tâm lý “bị hack/đổi email” — nên người dùng cần cảnh giác cao độ với email bất thường liên quan đến tài khoản Google/Gmail, tránh bấm vào liên kết lạ và luôn kiểm tra trực tiếp trong trang cài đặt tài khoản chính thức.