Báo động đỏ: 'Checkmxt.com' - Chiêu trò 'Check tài khoản game' núp bóng Google, Facebook để chiếm đoạt toàn bộ danh tính số

Anh A: Chỉ với một lần tò mò nhấn nút "Đăng nhập bằng Facebook" hay "Kiểm tra UID game", người chơi có thể vĩnh viễn mất trắng tài khoản mạng xã hội, hòm thư điện tử và toàn bộ tài sản ảo đã dày công tích lũy. Trang web checkmxt.com chính là một bẫy lừa đảo phishing tinh vi bậc nhất hiện nay.

1. "Miếng pho mát miễn phí" trên bẫy chuột ảo

Thời gian gần đây, trong các hội nhóm game thủ, đặc biệt là cộng đồng chơi các tựa game nổi tiếng như Free Fire, Liên Quân Mobile hay PUBG, xuất hiện tràn lan các đường link giới thiệu về website checkmxt.com. Trang web này quảng cáo rầm rộ tính năng "Check UID miễn phí", "Kiểm tra giá trị tài khoản game", "Dò tìm skin hiếm" mà không cần đăng nhập vào ứng dụng game.

Nhiều game thủ trẻ tuổi, với mong muốn biết tài khoản của mình "xịn" đến đâu, đã không ngần ngại truy cập vào đường link và làm theo hướng dẫn. Tuy nhiên, thay vì nhận được kết quả kiểm tra, họ đã vô tình trao chìa khóa toàn bộ thế giới ảo của mình vào tay tội phạm công nghệ cao.

Điều tra thực tế: Hiện tại, khi truy cập vào đường dẫn https://checkmxt.com, website này đã bị chặn hoặc gỡ bỏ. Đây là dấu hiệu điển hình của một chiến dịch lừa đảo "đánh nhanh rút gọn". Kẻ gian lập website, thu thập đủ nạn nhân rồi xóa dấu vết trước khi cơ quan chức năng vào cuộc.

2. "Mổ xẻ" kịch bản lừa đảo tinh vi

Theo ghi nhận từ phản ánh của nhiều nạn nhân, quy trình thao tác trên checkmxt.com và các web tương tự thường diễn ra như sau:

Bước 1: Dẫn dụ bằng UID. Người dùng được yêu cầu nhập UID (mã định danh công khai) của tài khoản game. Hệ thống sẽ giả lập một thanh tiến trình "Đang quét dữ liệu...".
Bước 2: Yêu cầu xác thực "con tin". Sau khi quét, website hiển thị thông báo: "Tài khoản này đã được bảo vệ bởi Garena/Facebook/Google. Vui lòng đăng nhập bằng tài khoản liên kết để xem thông tin chi tiết".
Bước 3: Giao diện đăng nhập giả mạo. Một cửa sổ pop-up hiện ra có giao diện y hệt trang đăng nhập chính thức của Google, Facebook hoặc Apple. Đây chính là "cửa tử".
Bước 4: Đánh cắp Token và Cookie. Khi nạn nhân nhập email/mật khẩu và nhấn Enter, thông tin không hề được gửi đến máy chủ Google mà bị chuyển thẳng cho hacker. Nguy hiểm hơn, website còn sử dụng kỹ thuật Session Hijacking (Chiếm đoạt phiên đăng nhập) thông qua việc đánh cắp Cookie.

3. Hậu quả khôn lường: Từ tài khoản game đến "chìa khóa cuộc đời số"

"Việc mất UID và tài sản trong game chỉ là phần nổi của tảng băng chìm. Việc mất Cookie và Token mới là thảm họa toàn diện."

Dưới đây là những gì kẻ gian có thể làm với dữ liệu thu thập được từ checkmxt.com:

Loại dữ liệu bị lộ

Hậu quả thực tế

Cookie/Token Facebook/Google

Kẻ gian vượt qua lớp bảo mật 2 lớp (2FA) một cách dễ dàng. Chúng sẽ chiếm quyền điều khiển tài khoản của bạn để lừa đảo bạn bè, phát tán mã độc, hoặc rao bán tài khoản trên chợ đen.

UID Game + Token Game

Toàn bộ skin, súng, nhân vật quý hiếm trong game bị chuyển đi hoặc phá hủy. Tài khoản game bị bán lại với giá rẻ. Nếu thẻ ngân hàng được liên kết trong game, kẻ gian có thể thực hiện các giao dịch mua bán trái phép.

Dữ liệu cá nhân từ Facebook

Hacker có thể thu thập đủ thông tin (Số điện thoại, Email, Ngày sinh, Ảnh thẻ) để thực hiện các vụ mạo danh vay tiền qua App tín dụng đen.

Tài khoản Apple ID

Nếu nạn nhân dùng iPhone và đăng nhập Apple ID giả mạo, kẻ gian có thể khóa máy từ xa và đòi tiền chuộc.

4. Khuyến cáo khẩn từ Cục An toàn thông tin

Để không trở thành nạn nhân của các chiêu trò như checkmxt.com, người dùng Internet, đặc biệt là các game thủ trẻ cần tuyệt đối tuân thủ các nguyên tắc sau:

TUYỆT ĐỐI KHÔNG ĐĂNG NHẬP TÀI KHOẢN GOOGLE, FACEBOOK HAY APPLE vào bất kỳ website lạ nào chỉ vì lời hứa hẹn "check miễn phí".
Luôn kiểm tra kỹ địa chỉ URL. Trang chính thức của Google là accounts.google.com và Facebook là facebook.com. Mọi tên miền lạ như checkmxt.com, checkfb2026.com hay voucher-ff.com đều là giả mạo.
Kích hoạt tính năng "Mã đăng nhập cảnh báo"(Login Alert) trên Facebook và Google để nhận thông báo khi có thiết bị lạ truy cập.
Thường xuyên truy cập mục "Quản lý thiết bị đăng nhập" trên tài khoản Google/Facebook để gỡ bỏ những phiên đăng nhập đáng ngờ.
Nếu đã lỡ nhập thông tin: Hãy đổi mật khẩu TẤT CẢ các tài khoản quan trọng ngay lập tức và sử dụng tính năng Đăng xuất khỏi tất cả thiết bị (Log out all sessions).

Kết luận: checkmxt.com là một website LỪA ĐẢO. Không có bất kỳ công cụ "check giá tài khoản game" thần thánh nào yêu cầu bạn phải cung cấp mật khẩu Google hay Facebook cả. Sự tò mò nhất thời có thể khiến bạn phải trả giá bằng cả danh tính số và tài sản ảo tích lũy nhiều năm. Hãy là một người dùng mạng thông thái!

1. "Miếng pho mát miễn phí" trên bẫy chuột ảo

2. "Mổ xẻ" kịch bản lừa đảo tinh vi

Theo ghi nhận từ phản ánh của nhiều nạn nhân, quy trình thao tác trên checkmxt.com và các web tương tự thường diễn ra như sau:

Bước 1: Dẫn dụ bằng UID. Người dùng được yêu cầu nhập UID (mã định danh công khai) của tài khoản game. Hệ thống sẽ giả lập một thanh tiến trình "Đang quét dữ liệu...".
Bước 2: Yêu cầu xác thực "con tin". Sau khi quét, website hiển thị thông báo: "Tài khoản này đã được bảo vệ bởi Garena/Facebook/Google. Vui lòng đăng nhập bằng tài khoản liên kết để xem thông tin chi tiết".
Bước 3: Giao diện đăng nhập giả mạo. Một cửa sổ pop-up hiện ra có giao diện y hệt trang đăng nhập chính thức của Google, Facebook hoặc Apple. Đây chính là "cửa tử".
Bước 4: Đánh cắp Token và Cookie. Khi nạn nhân nhập email/mật khẩu và nhấn Enter, thông tin không hề được gửi đến máy chủ Google mà bị chuyển thẳng cho hacker. Nguy hiểm hơn, website còn sử dụng kỹ thuật Session Hijacking (Chiếm đoạt phiên đăng nhập) thông qua việc đánh cắp Cookie.

3. Hậu quả khôn lường: Từ tài khoản game đến "chìa khóa cuộc đời số"

"Việc mất UID và tài sản trong game chỉ là phần nổi của tảng băng chìm. Việc mất Cookie và Token mới là thảm họa toàn diện."

Dưới đây là những gì kẻ gian có thể làm với dữ liệu thu thập được từ checkmxt.com:

Loại dữ liệu bị lộ

Hậu quả thực tế

Cookie/Token Facebook/Google

UID Game + Token Game

Dữ liệu cá nhân từ Facebook

Hacker có thể thu thập đủ thông tin (Số điện thoại, Email, Ngày sinh, Ảnh thẻ) để thực hiện các vụ mạo danh vay tiền qua App tín dụng đen.

Tài khoản Apple ID

Nếu nạn nhân dùng iPhone và đăng nhập Apple ID giả mạo, kẻ gian có thể khóa máy từ xa và đòi tiền chuộc.

4. Khuyến cáo khẩn từ Cục An toàn thông tin

TUYỆT ĐỐI KHÔNG ĐĂNG NHẬP TÀI KHOẢN GOOGLE, FACEBOOK HAY APPLE vào bất kỳ website lạ nào chỉ vì lời hứa hẹn "check miễn phí".
Luôn kiểm tra kỹ địa chỉ URL. Trang chính thức của Google là accounts.google.com và Facebook là facebook.com. Mọi tên miền lạ như checkmxt.com, checkfb2026.com hay voucher-ff.com đều là giả mạo.
Kích hoạt tính năng "Mã đăng nhập cảnh báo"(Login Alert) trên Facebook và Google để nhận thông báo khi có thiết bị lạ truy cập.
Thường xuyên truy cập mục "Quản lý thiết bị đăng nhập" trên tài khoản Google/Facebook để gỡ bỏ những phiên đăng nhập đáng ngờ.
Nếu đã lỡ nhập thông tin: Hãy đổi mật khẩu TẤT CẢ các tài khoản quan trọng ngay lập tức và sử dụng tính năng Đăng xuất khỏi tất cả thiết bị (Log out all sessions).

Báo động đỏ: 'Checkmxt.com' - Chiêu trò 'Check tài khoản game' núp bóng Google, Facebook để chiếm đoạt toàn bộ danh tính số

1. "Miếng pho mát miễn phí" trên bẫy chuột ảo

2. "Mổ xẻ" kịch bản lừa đảo tinh vi

3. Hậu quả khôn lường: Từ tài khoản game đến "chìa khóa cuộc đời số"

4. Khuyến cáo khẩn từ Cục An toàn thông tin

Bình luận

Báo động đỏ: 'Checkmxt.com' - Chiêu trò 'Check tài khoản game' núp bóng Google, Facebook để chiếm đoạt toàn bộ danh tính số

1. "Miếng pho mát miễn phí" trên bẫy chuột ảo

2. "Mổ xẻ" kịch bản lừa đảo tinh vi

3. Hậu quả khôn lường: Từ tài khoản game đến "chìa khóa cuộc đời số"

4. Khuyến cáo khẩn từ Cục An toàn thông tin

Bình luận