Trong thế giới kỹ thuật số ngày nay, các mối đe dọa như liên kết lừa đảo (phishing links) và phần mềm độc hại (malware) đã trở nên quen thuộc với bất kỳ ai thường xuyên duyệt web. Tuy nhiên, những cuộc tấn công ngày càng tinh vi có thể khiến ngay cả những người dùng có ý thức bảo mật cao nhất cũng phải bất ngờ. Đặc biệt, việc mạo danh Google trên chính nền tảng của Google là một chiến thuật đặc biệt nguy hiểm.
Gần đây, một chiến dịch quảng cáo độc hại đã được phát hiện, trong đó tin tặc mua không gian quảng cáo “Sponsored” trên Google Search để quảng bá một liên kết tải xuống Google Authenticator giả mạo. Bất kỳ ai tìm kiếm “Google Authenticator” đều có thể bắt gặp quảng cáo này. Nó trông hoàn toàn hợp pháp và thậm chí còn sử dụng URL dường như là www.google.com.
Chi tiết chiến dịch lừa đảo Google Authenticator tinh vi
Khi nhấp vào quảng cáo, nạn nhân sẽ được đưa đến một trang web giả mạo Google Authenticator trông rất thuyết phục, nhưng với URL thực tế là www.chromeweb-authenticators.com. Việc nhấn vào nút “Download Authenticator” nổi bật trên trang web này sẽ kích hoạt tải xuống tệp “Authenticator.exe”.
Quy trình lừa đảo và phát tán Malware DeerStealer
Điểm đáng chú ý là tệp thực thi này được lưu trữ trên GitHub và được ký bởi một nhà phát triển. Nguồn gốc này cùng với việc có chữ ký khiến các trình duyệt web và phần mềm diệt virus Windows Defender không đưa ra cảnh báo nào, làm nạn nhân mất cảnh giác.
Thực chất, tệp Authenticator.exe này là một phần mềm độc hại đánh cắp thông tin có tên DeerStealer. Công ty bảo mật Malwarebytes đã nhanh chóng phát hiện chiến dịch quảng cáo độc hại này và lập tức liên hệ với Google, sau đó Google đã gỡ bỏ quảng cáo vi phạm khỏi nền tảng của mình.
Quảng cáo giả Google Authenticator trên Google Search.
Vì sao kẻ tấn công có thể qua mặt hệ thống Google Ads?
Lý do mà chiến dịch này có thể qua mặt các hệ thống kiểm soát chất lượng tự động và thủ công của Google thực ra khá đơn giản. Trong cuộc trao đổi với Bleeping Computer, Google cho biết tin tặc đã vượt qua các hệ thống này bằng cách “sử dụng thao túng văn bản và cloaking để hiển thị các trang web khác với những gì người truy cập thông thường sẽ thấy”. Điều này có nghĩa là khi hệ thống kiểm duyệt của Google kiểm tra, chúng thấy một nội dung hợp lệ, nhưng khi người dùng nhấp vào, họ lại bị chuyển hướng đến trang độc hại.
Nguy cơ tiềm ẩn từ quảng cáo “Sponsored” trên Google Search
Hầu hết mọi người đều biết rằng không nên nhấp vào các quảng cáo ngẫu nhiên. Tuy nhiên, vấn đề ở đây là các kết quả tìm kiếm “Sponsored” của Google không phải là những quảng cáo truyền thống. Chúng được thiết kế để liên quan đến chủ đề bạn đang tìm kiếm và thường được các công ty hợp pháp sử dụng để xuất hiện nổi bật hơn trên Google Search. Ngay cả khi bạn nhận ra một kết quả tìm kiếm là “Sponsored”, nó vẫn có thể chính xác là những gì bạn đang tìm kiếm.
Trong trường hợp này, nạn nhân đang tìm kiếm một sản phẩm của Google trên một trang web của Google. Họ tìm thấy một quảng cáo cho sản phẩm đó và nhấp vào, bởi vì tại sao lại không? Điều này cho thấy mức độ nguy hiểm và tinh vi của cuộc tấn công, tận dụng sự tin tưởng của người dùng vào chính nền tảng tìm kiếm.
Lịch sử và lời khuyên phòng tránh
Đây không phải là lần đầu tiên nền tảng quảng cáo của Google bị lợi dụng để phân phối phần mềm độc hại hoặc thực hiện các cuộc tấn công lừa đảo. Trên thực tế, chống lại phần mềm độc hại đã là một cuộc chiến kéo dài hàng thập kỷ đối với Google, và chắc chắn sẽ tiếp tục là một thách thức trong tương lai. Dù vậy, lịch sử cho thấy Google là một trong những công ty chủ động nhất trong việc loại bỏ phần mềm độc hại khỏi nền tảng quảng cáo và công cụ tìm kiếm của mình.
Chúng tôi khuyến nghị bạn nên cẩn trọng và tránh nhấp vào các kết quả “Sponsored” trong Google Search, đặc biệt khi tìm kiếm các công cụ hoặc phần mềm nhạy cảm. Điều này có thể khó thực hiện, vì đôi khi rất khó phân biệt những quảng cáo này với các kết quả tìm kiếm thông thường.
Kết luận: Vụ việc lừa đảo Google Authenticator qua quảng cáo Google là một lời nhắc nhở quan trọng về sự nguy hiểm tiềm ẩn trên không gian mạng, ngay cả từ những nguồn tưởng chừng đáng tin cậy. Hãy luôn kiểm tra kỹ URL và nguồn tải xuống trước khi thực hiện bất kỳ hành động nào. Bạn đã từng gặp phải trường hợp tương tự chưa? Hãy chia sẻ kinh nghiệm của bạn bên dưới để cùng nhau nâng cao cảnh giác!
