Tin tặc lợi dụng Google Ads để đánh cắp 4 triệu USD
Chỉ trong tháng 4, tin tặc đã lừa 3.000 người để chiếm đoạt số tiền điện tử trị giá 4,16 triệu USD, thông qua việc quảng cáo các trang web lừa đảo bằng Google Ads.
Thông tin trên do ScamSniffer - công ty cung cấp dịch vụ chống lừa Web3 - vừa tiết lộ.
"Quảng cáo từ các trang web lừa đảo đang phổ biến trên Google. Khi người dùng nhấp vào dịch vụ quảng cáo, họ sẽ bị yêu cầu điền chữ ký đăng nhập ví tiền số. Từ đây, tin tặc qua mặt hệ thống đánh giá của Google Ads để chiếm đoạt tiền số của nạn nhân" - chuyên gia của ScamSniffer cho biết.
Một số giao thức, trang web và nền tảng tài chính phi tập trung (DeFi) như Zapper.fi, Lido, Stargate, DefiLlama, Orbiter Finance và Radiant đã trở thành mục tiêu của những kẻ lừa đảo. Những thay đổi nhỏ đối với URL chính thức khiến người dùng khó xác định rằng họ đã nhấp vào các liên kết độc hại.
Một phân tích cho thấy các trang web lừa đảo này có liên quan tới các nhà quảng cáo ở Ukraine và Canada. Kẻ xấu đã sử dụng một số phương pháp để vượt qua quy trình đánh giá quảng cáo của Google. Điều này bao gồm việc thao túng tham số Google Click ID, cho phép tin tặc tạo ra một trang web bình thường khi người dùng xem Google Ads.
Các quảng cáo độc hại lừa tiền của nạn nhân bằng cách sử dụng phương pháp "chống gỡ lỗi" (anti debug) để chuyển hướng người dùng bật công cụ dành cho lập trình viên đến một trang web bình thường.
Chỉ cần một lần nhấp chuột sẽ đưa người dùng đến trang web độc hại, điều này giúp kẻ xấu qua mặt hệ thống đánh giá của Google Ads.
Số tiền mà tin tặc đánh cắp được đã chuyển đến các nền tảng giao dịch khác nhau như SimpleSwap, Tornado Cash, KuCoin hay Binance.
ScamSniffer cho rằng chi phí quảng cáo các trang web lừa đảo liên quan đến tiền số có thể sinh lợi. Giá mỗi cú nhấp chuột trung bình cho các từ khóa được liên kết nằm trong khoảng từ 1-2 USD.
Ước tính tỷ lệ chuyển đổi là 40% từ 7.500 người dùng nhấp vào quảng cáo độc hại, kẻ xấu đã chi khoảng 15.000 USD cho quảng cáo, mang lại lợi tức cho các khoản đầu tư đến 276%.
Một báo cáo từ Kaspersky của Nga đã nhấn mạnh, các cuộc tấn công lừa đảo tiền số tính đến năm 2022 đang tăng cao - tăng 40% so với cùng kỳ năm ngoái với hơn 5 triệu cuộc lừa đảo được xác định.