Cảnh Báo Mozilla: Phishing Nhắm Vào Nhà Phát Triển Add-on
Ghi nhận chi phí thiệt hại do tội phạm mạng toàn cầu dự kiến lên tới 10,5 nghìn tỷ USD mỗi năm vào năm 2025? Và chỉ riêng trong quý 1 năm 2025, số lần tấn công mạng mỗi tổ chức trung bình đã tăng tới 47 %, đạt 1.925 cuộc tấn công mỗi tuần! Khi chúng ta nói đến phishing (lừa đảo qua email), đây thật sự là mồi béo bở — giống như kiểu đặt bẫy điện thoại, chỉ khác là qua email — để đánh cắp thông tin nhạy cảm.
Mozilla vừa cảnh báo một chiến dịch phishing đang diễn ra, nhắm vào các nhà phát triển extension (add-on) trên nền tảng AMO (addons.mozilla.org).
Mozilla cho biết hacker giả dạng là nhóm AMO, gửi email yêu cầu “cập nhật tài khoản” để “tiếp tục có quyền truy cập các chức năng phát triển”. Đây là chiêu phổ biến: tạo cảm giác cấp bách, khiến bạn click link mà không nghĩ kỹ. Hậu quả? Có thể mất hoàn toàn quyền kiểm soát tài khoản phát triển, hoặc add-on bị chèn mã độc.
Cách hacker làm việc:
Email giả mạo (spoofing): địa chỉ không phải từ domain mozilla.org/firefox.com dù trông rất giống.
Pass email authentication checks giả: dùng kỹ thuật như SPF, DKIM hoặc DMARC vượt qua lọc spam.
Link giả mạo: dẫn đến trang lừa giống giao diện đăng nhập Mozilla, nhưng để ăn cắp mật khẩu.
Bối cảnh mối nguy ngày càng phức tạp hơn
Năm 2024 đã ghi nhận một siêu kỳ loạn dữ liệu: hơn 26 tỉ bản ghi bị lộ từ Twitter, LinkedIn, Dropbox… trong vụ “Mother of All Breaches” .
Một vụ nổi bật: cuộc tấn công vào Kadokawa/Niconico ở Nhật (2024) xuất phát từ phishing, làm lộ dữ liệu hơn 254,000 người dùng .
Ngay cả những tổ chức lớn như Google cũng từng là mục tiêu: bị nhóm ShinyHunters tấn công qua phishing, ảnh hưởng đến hệ thống Salesforce .
Khuyến nghị
Dưới đây là những bước phòng ngừa:
Kiểm tra kỹ email gửi từ domain Mozilla thật không: chỉ tin email từ firefox.com, mozilla.org, mozilla.com hoặc subdomain.
Xem header email: đảm bảo nó đều “trong sạch” với SPF, DKIM, DMARC đều pass (giống như dấu kiểm xanh trên fanpage).
Không click link trong email nghi ngờ: vào trực tiếp addons.mozilla.org để đăng nhập.
Luôn bật xác thực hai yếu tố (2FA) nếu có — như thêm lớp khóa thứ hai cho tài khoản.
Cảnh giác với email tạo cảm giác cấp bách: kiểu “nhấn link này ngay hoặc mất quyền truy cập”.
Dùng trình duyệt và email client cập nhật mới nhất, có tích hợp chống giả mạo.
Ẩn dụ dễ hình dung: Phishing giống như việc bạn nhận được điện thoại tự xưng là nhân viên ngân hàng yêu cầu đọc mã OTP “gấp”, rồi bạn chat với bạn bè để xác nhận trước khi làm gì vội vàng.
Thêm góc nhìn từ báo cáo an toàn mạng 2025
Theo Global Cybersecurity Outlook, 72 % tổ chức cho biết họ nhận thấy gia tăng rủi ro mạng, đặc biệt là từ social engineering và ransomware
IBM cho biết ở khu vực APAC (chắc có cả Việt Nam ta), năm 2024 có 34 % các vụ tấn công và nhiều tổ chức bị đánh cắp credential (40 %) hoặc dữ liệu (12 %) .
