Vụ lừa đảo bằng quảng cáo lớn nhất trong lịch sử

Mỗi khi một ứng dụng hoặc trang web được mở lên, một loạt các quy trình vô hình sẽ tự động xuất hiện mà người dùng không hề hay biết.

Đằng sau đó, hàng chục công ty quảng cáo đang chen lấn để thu hút sự chú ý của người dùng. Ai cũng muốn quảng cáo của họ xuất hiện trước mắt người dùng.

Thuật toán sẽ tự động yêu cầu các quảng cáo "đấu giá" với nhau để được xuất hiện đầu tiên, có tên là quảng cáo tự động hoặc còn được gọi là quảng cáo có lập trình.

"Mỏ vàng" cho tội phạm mạng

Bản chất của quảng cáo xuất hiện trên các trang web hoặc ứng dụng di động là một lĩnh vực rất phức tạp và không rõ ràng. Tuy nhiên, nguồn doanh thu khổng lồ cho người tham gia được tạo ra ở đây.

Theo thống kê của Wired, có tới hàng tỷ quảng cáo được đặt trên các trang web và trong các ứng dụng mỗi ngày.

Khi người dùng nhấp hoặc xem chúng, các thương hiệu hoặc mạng lưới tiếp thị sẵn sàng trả tiền để hiển thị quảng cáo của họ. Khi người dùng mở một trang web hoặc ứng dụng bất kỳ, phần lớn việc này được thực hiện.

Quảng cáo bằng lập trình là một công nghiệp trị giá 418 tỷ đô la vào năm 2021. Tuy nhiên, đây cũng là "mỏ vàng" với những kẻ lừa đảo.

Wired dẫn nguồn tin từ các nhà nghiên cứu bảo mật cho thấy một cuộc tấn công lan rộng mới nhắm vào hệ sinh thái quảng cáo trực tuyến.

Cuộc tấn công được cho là có tác động đến hàng triệu người, lừa đảo hàng trăm doanh nghiệp và có khả năng mang lại lợi ích lớn cho những kẻ đứng sau lợi nhuận.

Theo các nhà nghiên cứu tại Human Security, một công ty tập trung vào các hoạt động lừa đảo, cuộc tấn công có tên là Vastflux.

Khoảng 11 triệu người dùng là nạn nhân của Vastflux, trong đó những kẻ tấn công đã giả mạo 1.700 ứng dụng và nhắm mục tiêu vào 120 Publisher, thuật ngữ chỉ các công ty chịu trách nhiệm kết nối phía quảng cáo với người dùng.

Những kẻ tấn công được cho là đã buộc thiết bị người dùng thực hiện tới 12 tỷ lượt hiện quảng cáo ngầm mỗi ngày.

Marion Habiby, nhà khoa học Dữ liệu tại Human Security và cũng là trưởng nhóm nghiên cứu về vụ việc mô tả Vastflux là một trong những cuộc tấn công tinh vi nhất mà công ty từng thấy và là cuộc tấn công lớn nhất.

"Tôi đã phải chạy các con số nhiều lần khi tôi lần đầu tiên nhận được kết quả về quy mô của cuộc tấn công. Rõ ràng là những kẻ lừa đảo được tổ chức rất bài bản và cố gắng để tránh bị phát hiện. Họ muốn đảm bảo rằng cuộc tấn công sẽ diễn ra càng lâu càng tốt để kiếm được càng nhiều tiền càng tốt. Habiby nói.

Nhiều lớp ngụy trang

Trong khi điều tra một mối đe tiềm ẩn khác, nhà nghiên cứu Vikas Parthasarathy đã phát hiện ra Vastflux lần đầu tiên vào mùa hè năm 2022.

Theo Habiby, những kẻ đứng sau Vastflux đã thực hiện một loạt các biện pháp để tránh bị phát hiện và cuộc tấn công bao gồm nhiều bước.

Trước tiên, tổ chức đứng sau Vastflux sẽ cố gắng mua một vị trí đặt quảng cáo trong đó và nhắm mục tiêu vào các ứng dụng phổ biến.

Vastflux sẽ chiến thắng "đấu giá" để hiển thị quảng cáo đầu tiên của mình. Sau đó, những kẻ lừa đảo sẽ thêm một số đoạn mã JavaScript độc hại vào quảng cáo đó để hiển thị nhiều quảng cáo video xếp chồng lên nhau.

Nói một cách đơn giản, những kẻ tấn công có thể kiểm soát hệ thống quảng cáo. Có tới 25 quảng cáo được đặt chồng lên nhau khi điện thoại người dùng hiển thị nó.

Người dùng không hề hay biết vì chỉ thấy một quảng cáo trên màn hình điện thoại, trong khi những kẻ tấn công sẽ được trả tiền cho mỗi quảng cáo đó.

Do đó, pin điện thoại sẽ cạn nhanh hơn bình thường vì phải xử lý tất cả các quảng cáo gian lận được xếp chồng lên nhau dưới "vỏ bọc" là một quảng cáo tiêu chuẩn.

Ngay khi lớp quảng cáo "ngụy trang" bị dừng lại, Vastflux sẽ ngưng toàn bộ quá trình tấn công để ngăn chặn việc phát hiện. Điều này khiến rất ít người dùng nhận ra thiết bị của mình đã bị lợi dụng.

Mặc dù rất khó để phát hiện, người dùng vẫn có thể xác định thiết bị đang bị ảnh hưởng bởi một số dấu hiệu, chẳng hạn như thời lượng pin tụt quá nhanh, dữ liệu tăng vọt hoặc màn hình bất ngờ bật vào thời điểm ngẫu nhiên.

Cuộc điều tra gian lận quảng cáo lớn nhất của FBI vào tháng 11 năm 2018 đã buộc tội 8 người đàn ông chỉ đạo 2 kế hoạch lừa đảo bằng quảng cáo khét tiếng.

Đến năm 2020, Uber đã thắng một vụ kiện chống lại một công ty mà họ thuê để thu hút thêm người cài đặt ứng dụng đã lừa đảo bằng quảng cáo theo cách tương tự.

Trong trường hợp của Vastflux, nạn nhân chịu thiệt hại lớn nhất từ cuộc tấn công này là những người tham gia vào lĩnh vực quảng cáo đang phát triển mạnh.

"Họ đang cố đánh lừa nhiều nhóm khác nhau trong chuỗi cung ứng bằng các chiến thuật khác nhau đối phó với từng đối tượng cụ thể", Theo Zach Edwards, quản lý cấp cao tại Human Security.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống