Cuối tháng 1/2025, một cuộc tấn công quy mô lớn và tinh vi đã được phát hiện, nhắm vào tài khoản Google Ads của hàng loạt nhà quảng cáo. Theo báo cáo từ Malwarebytes Labs, các hacker đã sử dụng chính quảng cáo tìm kiếm của Google để lừa đảo người dùng và đánh cắp thông tin đăng nhập.
Cách thức tấn công
Hacker tạo các quảng cáo tìm kiếm giả mạo trang đích của Google Ads. Khi người dùng tìm kiếm từ khóa “Google Ads”, kết quả hiển thị sẽ dẫn đến các trang web giả mạo được host trên Google Sites.
Bằng cách lợi dụng việc URL của Google Sites (sites.google.com) trùng với root domain của Google Ads (ads.google.com), các hacker dễ dàng qua mặt hệ thống kiểm duyệt của Google. Điều này khiến người dùng khó nhận biết rằng họ đang truy cập vào một trang lừa đảo.
Các nhóm hacker tham gia
Malwarebytes Labs đã xác định ít nhất ba nhóm hacker tham gia vụ tấn công này:
Nhóm từ Brazil:
- Đây là nhóm hoạt động mạnh nhất, với hơn 50 quảng cáo gian lận được phát hiện trong vài ngày.
- Họ sử dụng JavaScript chứa bình luận bằng tiếng Bồ Đào Nha trong mã nguồn.
- Nhiều nạn nhân nhận được cảnh báo đăng nhập đáng ngờ từ Brazil.
Nhóm từ châu Á:
- Hoạt động chủ yếu bằng cách sử dụng các tài khoản quảng cáo từ Hồng Kông hoặc Trung Quốc.
- Mã nguồn của họ chứa bình luận bằng tiếng Trung Quốc.
Nhóm từ Đông Âu: Khác với hai nhóm trên, nhóm này chủ yếu phân phối malware thay vì đánh cắp tài khoản.
Quy trình tấn công chi tiết
- Tạo quảng cáo lừa đảo: Hacker chạy các quảng cáo giả mạo Google Ads.
- Chuyển hướng đến trang trung gian: Người dùng bị đưa đến một trang trên Google Sites, trông giống trang chủ Google Ads.
- Trang phishing: Khi người dùng nhấp vào nút “Bắt đầu ngay”, họ sẽ bị dẫn đến trang thực sự để đánh cắp thông tin đăng nhập.
- Thu thập dữ liệu: Hacker sử dụng mã JavaScript để thu thập dấu vân tay trình duyệt và gửi thông tin đến máy chủ của chúng.
Mục tiêu của hacker
Hacker đánh cắp tài khoản Google Ads để:
- Bán lại trên các diễn đàn ngầm.
- Sử dụng để chạy các chiến dịch quảng cáo gian lận hoặc phát tán malware.
- Tài khoản Google Ads bị đánh cắp có giá trị rất lớn, vì chúng cho phép hacker thực hiện các hành vi gian lận mà không cần tạo tài khoản mới.
Phản ứng từ Google
Google đã xác nhận vấn đề này và đang tích cực điều tra, đồng thời triển khai các biện pháp mạnh tay để ngăn chặn. Trong năm 2023, Google đã:
- Loại bỏ hơn 206,5 triệu quảng cáo vi phạm chính sách gian lận.
- Xóa hơn 3,4 tỷ quảng cáo không tuân thủ quy định.
- Hạn chế hơn 5,7 tỷ quảng cáo.
- Đình chỉ hơn 5,6 triệu tài khoản quảng cáo.
Google cũng nhấn mạnh rằng họ nghiêm cấm mọi hành vi lừa đảo hoặc đánh cắp thông tin từ người dùng qua các quảng cáo.
Lời khuyên để bảo vệ tài khoản của bạn
- Kiểm tra kỹ URL: Trước khi nhập thông tin đăng nhập, hãy kiểm tra xem URL có đúng với địa chỉ chính thức của Google Ads hay không.
- Cẩn trọng với quảng cáo tìm kiếm: Không nhấp vào các quảng cáo đáng ngờ, đặc biệt khi liên quan đến các dịch vụ của Google.
- Kích hoạt xác thực hai yếu tố (2FA): Đây là biện pháp bảo mật hiệu quả để bảo vệ tài khoản của bạn trước các cuộc tấn công phishing.
Cuộc tấn công này là một trong những sự kiện lừa đảo nghiêm trọng, ảnh hưởng đến hàng nghìn người dùng trên toàn cầu. Việc nâng cao nhận thức về an ninh mạng và áp dụng các biện pháp bảo mật là rất quan trọng để phòng tránh các mối đe dọa tương tự trong tương lai. Hy vọng những chia sẻ của Fox.ai hữu ích với bạn!
