Một quảng cáo trông có vẻ bình thường cho nền tảng giao dịch tiền điện tử 'Whales Market' trên Google Search đang dẫn người dùng đến một trang web lừa đảo để đánh cắp toàn bộ tài sản của họ.
Whales Market là một nền tảng giao dịch OTC phi tập trung. Nó cho phép người dùng trao đổi tài sản trên nhiều blockchain khác nhau.
Khi tìm kiếm Whales Market trên Google, một quảng cáo được tài trợ xuất hiện đầu tiên. Nó trông giống như URL chính thức của trang web. Trong các thử nghiệm của BleepingComputer, quảng cáo này không xuất hiện trên Bing.
Quảng cáo này hiển thị www.whales.market. Đây không phải là hostname hợp lệ nhưng là tên miền chính thức của whales.market. Di chuột lên trên quảng cáo cũng hiện ra liên kết dẫn đến URL chính xác https://whales.market.
Tuy nhiên, khi nhấp vào liên kết, người dùng sẽ được chuyển hướng qua một loạt các trang web và đích đến là trang web lừa đảo https://app.whaless[.]market/. Tên miền của trang web này có thêm một chữ s trong từ "whales".
Trang web giả mạo này sao chép giao diện của trang web chính chủ, bao gồm cả nền tảng giao dịch của nó. Tuy nhiên, một khi bạn kết nối một ví điện tử với nó, các tập mã độc sẽ rút hết tài sản trong đó.
Trước khi kết nối ví của bạn với bất kỳ trang web Web3 nào, điều quan trọng là phải kiểm tra tên miền hiển thị trong thanh địa chỉ của trình duyệt để xác định xem đó có phải là trang web chính thức hay không.
Nếu bạn thấy mình đang ở một trang web có vẻ ngoài khác lạ, dù chỉ một chút, đừng kết nối ví của bạn với nó.
Lợi dụng chuyển hướng tên miền để qua mặt nền tảng quảng cáo
Trong nhiều năm qua, các nhóm tội phạm mạng đã lợi dụng Google Ads để phát tán mã độc hoặc chuyển hướng người dùng đến các trang web lừa đảo.
Hầu hết các quảng cáo sử dụng tên miền tương tự như nền tảng mà chúng giả mạo. Nhưng chúng thường có lỗi chính tả hoặc thêm dấu gạch nối, vốn dễ dàng nhận biết nếu người dùng để ý. Một số quảng cáo khác thậm chí không có cố để trông giống với tên miền chính thức mà chỉ hy vọng ai đó sẽ nhấp vào quảng cáo do nhầm lẫn.
Tuy nhiên, điều đáng lo ngại hơn là những quảng cáo lừa đảo nhưng lại hiển thị URL đúng của các nền tảng bị giả mạo, chẳng hạn như trường hợp của Whales Market. Các thương hiệu khác bị mạo danh bởi quảng cáo giả mạo trên Google bao gồm Keepass, Home Depot, Amazon, eBay và thậm chí cả YouTube của chính Google.
Vậy làm thế nào mà những kẻ xấu có thể tạo ra những quảng cáo trông có vẻ giống thật như vậy? Câu trả lời nằm ở việc chuyển hướng người truy cập đến các trang web khác nhau dựa trên địa chỉ IP hoặc trình duyệt của họ.
Khi một quảng cáo này đăng ký, bot tìm kiếm của Google và Microsoft sẽ truy cập URL đích của quảng cáo để xác minh trang web.
Khi trang web của kẻ tấn công phát hiện người truy cập sử dụng trình duyệt hoặc địa chỉ IP của Google hoặc Microsoft, chúng sẽ chuyển họ đến trang web chính thức mà chúng đăng ký quảng cáo. Vì các nền tảng quảng cáo nhìn thấy trang đích cuối cùng là một trang web hợp pháp, nên chúng cho phép URL được hiển thị trong quảng cáo.
Tuy nhiên, khi một người dùng bình thường nhấp vào những quảng cáo này, họ sẽ bị chuyển hướng đến các trang web chứa mã độc và các chiêu trò lừa đảo.
Phương thức này đã xuất hiện từ nhiều năm, nhưng Google vẫn chưa thể ngăn chặn những loại quảng cáo này vượt qua các bước kiểm duyệt. Không chỉ Google, Microsoft và X cũng bị ảnh hưởng bởi các quảng cáo độc hại, với các kỹ thuật tương tự được sử dụng trên các nền tảng quảng cáo của họ.
Theo BleepingComputer.