Mối đe dọa từ các liên kết lừa đảo (phishing links) và phần mềm độc hại (malware) đã trở nên quen thuộc với bất kỳ ai thường xuyên duyệt web. Tuy nhiên, những cuộc tấn công tinh vi vẫn có thể khiến ngay cả người dùng cẩn trọng nhất cũng bất ngờ. Đặc biệt, việc mạo danh Google ngay trên chính nền tảng của Google là một chiến thuật cực kỳ xảo quyệt. Gần đây, một chiến dịch quảng cáo độc hại đã lợi dụng không gian quảng cáo “Sponsored” của Google Search để phân phối liên kết tải Google Authenticator giả mạo, ẩn chứa mối nguy hiểm khôn lường cho người dùng tìm kiếm.
Cách Thức Kẻ Tấn Công Lợi Dụng Quảng Cáo Google Search
Trong chiến dịch mới đây, những kẻ tấn công mạng đã mua không gian quảng cáo “Sponsored” trên Google Search để quảng bá một liên kết tải Google Authenticator giả mạo. Bất kỳ ai tìm kiếm cụm từ “Google Authenticator” đều có thể bắt gặp quảng cáo này. Điều đáng nói là quảng cáo trông hoàn toàn hợp pháp, thậm chí còn hiển thị URL www.google.com, khiến người dùng khó lòng nhận ra sự bất thường.
Diễn Biến Khi Người Dùng Nhấp Vào Liên Kết Độc Hại
Khi nhấp vào quảng cáo giả mạo này, nạn nhân sẽ được chuyển hướng đến một trang web sao chép rất tinh vi giao diện của Google Authenticator, nhưng với URL thực tế là www.chromeweb-authenticators.com. Trên trang này, một nút “Download Authenticator” nổi bật sẽ mời gọi người dùng tải xuống tệp “Authenticator.exe”. Đáng chú ý, tệp thực thi này được lưu trữ trên GitHub và đã được ký bởi một nhà phát triển. Chính yếu tố này cùng với việc tệp được ký đã giúp nó vượt qua sự kiểm soát của các trình duyệt web và phần mềm chống virus như Windows Defender, khiến nạn nhân mất cảnh giác.
Hình ảnh các quảng cáo giả mạo Google Authenticator trong kết quả tìm kiếm Google
Mã Độc DeerStealer và Phản Ứng Từ Cộng Đồng Bảo Mật
Tệp Authenticator.exe thực chất là một mã độc đánh cắp thông tin (info-stealer malware) có tên DeerStealer. Công ty bảo mật Malwarebytes đã nhanh chóng phát hiện ra chiến dịch quảng cáo độc hại này và kịp thời liên hệ với Google. Ngay sau đó, Google đã gỡ bỏ quảng cáo vi phạm khỏi nền tảng của mình.
Lý Do Google Ads Trở Thành Kẽ Hở Cho Kẻ Xấu
Về cách thức mà vụ việc này xảy ra, theo Google chia sẻ với Bleeping Computer, những kẻ tấn công đã “sử dụng thao tác văn bản và cloaking để hiển thị các trang web khác nhau so với những gì người truy cập thông thường sẽ thấy”, qua đó lách được các hệ thống kiểm soát chất lượng tự động và thủ công của Google.
Hầu hết mọi người đều biết rằng không nên nhấp vào các quảng cáo ngẫu nhiên. Tuy nhiên, vấn đề nằm ở chỗ các kết quả tìm kiếm “Sponsored” của Google không phải là quảng cáo truyền thống. Chúng được thiết kế để phù hợp với chủ đề mà người dùng đang tìm kiếm và thường được các công ty hợp pháp sử dụng để nổi bật hơn trong kết quả Google Search. Ngay cả khi nhận ra một kết quả tìm kiếm là “Sponsored”, đó vẫn có thể là chính xác thứ bạn đang tìm. Trong trường hợp này, các nạn nhân đang tìm kiếm một sản phẩm của Google (Google Authenticator) trên một trang web của Google (Google Search). Họ tìm thấy một quảng cáo cho sản phẩm đó và nhấp vào, bởi vì tại sao lại không chứ?
Đây không phải là lần đầu tiên nền tảng quảng cáo của Google bị lợi dụng để phân phối mã độc hoặc thực hiện các cuộc tấn công lừa đảo. Thực tế, cuộc chiến chống lại phần mềm độc hại đã là một nỗ lực kéo dài hàng thập kỷ đối với Google, và chắc chắn sẽ tiếp tục trong tương lai, mặc dù Google thường là đơn vị chủ động nhất trong việc gỡ bỏ phần mềm độc hại khỏi nền tảng quảng cáo và công cụ tìm kiếm của mình.
Lời khuyên từ chúng tôi là bạn nên hạn chế nhấp vào các kết quả “Sponsored” trong Google Search. Điều này có thể khó khăn, vì việc phân biệt các quảng cáo này với kết quả tìm kiếm thông thường đôi khi không hề dễ dàng.
Hãy luôn cảnh giác và kiểm tra kỹ lưỡng trước khi nhấp vào bất kỳ liên kết nào, ngay cả khi chúng xuất hiện trên các nền tảng đáng tin cậy. Để cập nhật những tin tức và thủ thuật bảo mật mới nhất, đừng quên theo dõi Thuthuatso.net và chia sẻ thông tin cảnh báo này đến bạn bè, người thân để cùng nhau bảo vệ an toàn trực tuyến.
