[Cẩm nang an toàn] Cẩn thận với các trang Web đề nghị bạn cài đặt Plugin hoặc tiện ích mở rộng

June 30, 2020

Google Alerts Phát Hiện Các Thông Báo Vi Phạm Dữ Liệu Giả Mạo Đẩy Phần Mềm Độc Hại Vào Máy Tính Người Dùng

Những kẻ lừa đảo gần đây đã bắt đầu đẩy các thông báo vi phạm dữ liệu giả cho các công ty lớn để phân phối phần mềm độc hại và lừa đảo. Đây là phương pháp pha trộn SEO “đen”, Google Sites và các trang spam để hướng người dùng đến các địa chỉ nguy hiểm. Google có một thuật ngữ riêng cho phần này là Re-Marketing để giúp người dùng có thể tiếp cận các nội dung mà họ đang tìm kiếm dễ dàng hơn. Đây là tính năng của google nhưng cũng đồng thời là điểm yếu cố hữu của Google nếu như các hacker, kẻ giả mạo biết cách khai thác các Quảng cáo nằm ngoài dịch vụ Google nhưng lại có SEO tốt theo đánh giá của Google.

Google Alerts là một phần của giải pháp giúp người dùng tiếp cận thông tin. Chúng gửi thông báo đến người dùng khi họ vừa truy cập từ khóa vào các trang web nhất định bằng dịch vụ theo dõi kết quả tìm kiếm, từ đó có thể biết được những web nào chứa mã độc. Những kẻ lừa đảo đã tạo ra các trang hoặc sử dụng các trang web dễ bị xâm nhập để gửi các mã giả mạo “vi phạm dữ liệu” của các ứng dụng nổi tiếng mà người dùng đã biết.

Sự cố bảo mật giả

BleepingComputer đã thấy các thông báo vi phạm giả cho các công ty như Chegg, EA, Canva, Dropbox, Hulu, Ceridian, Shein, PayPal, Target, Hautelook, Mojang, InterContinental Hotels Group và Houzz…

Phổ biến nhất là các trang này hướng người dùng đến một trang có quà tặng (tất nhiên là giả) thông qua Google Alert. Người dùng sẽ được đề nghị tải xuống các phần mở rộng, tiện ích, plugins v.v… và tất nhiên thứ mà bạn tải về chứa mã độc hoặc có khi là cả virus.

Để ẩn giấu các hành vi, qua mặt được các hệ thống đánh giá bảo mật của Google, việc điều hướng đến các trang chỉ định đều rất “sạch” nhưng hành vi sau đó khi đề xuất cài đặt Plugins thì lại không hề “sạch” chút nào.

Nội dung như ném chữ vào mặt người dùng này là hành vi tối ưu SEO mà các hacker hay dùng

BleepingComputer được tìm thấy trên một trang web bị tấn công (penartdesigner[.]com/ifcemva/) và nó chứa hơn 2.000 tệp văn bản như ở trên với các từ khóa cụ thể để khi người dùng tìm kiếm nội dung có từ khoá tiệm cận thì nó sẽ hiển thị kết quả trong Google Search.

Hàng loạt các mã nguồn điều hướng được thêm vào website

Về cơ bản, những kẻ lừa đảo đã tạo ra danh mục các tập tin này từ việc tìm kiếm trên internet các vấn đề hoặc câu hỏi mà người dùng cần câu trả lời. Chủ đề mà các hacker khai thác cũng rất đa dạng và độ phộ biến cũng rất cao. Từ các sản phẩm phần mềm chuyên dụng đến các từ khoá DIY (Do It Yourself – Tự làm các vật phẩm, sản phẩm) và cả thuốc lá điện tử, tinh dầu Vape cũng có… thậm chí đến cả viêc nhân giống chó cũng có luôn.

Tất cả mọi thứ đều rất sạch và có mức độ tối ưu SEO cao nên khi người dùng tìm kiếm các nội dung trên thì gần như chúng đều hiển thị ở những trang đầu tiền.

Ngoài việc sử dụng các trang web bị xâm nhập, những kẻ lừa đảo cũng có thể thiết lập các trang riêng của mình. Google Sites, của chính Google lại chính là công cụ được các hacker dùng để xây dựng tran Web và lưu trữ mã độc của.

Google Alerts liên kết chuyển hướng đến phần mềm độc hại

Có một sự khác biệt rất lớn khi người dùng sử dụng Google Alert để đến trang Web với việc bạn vào trực tiếp trang Web đó. Và một trong những ví dụ điển hình nhất là nếu bạn vào các trang Web dịch vụ miễn phí (Đọc truyện, xem phim, xem phim lợn v.v…) và bạn click vào quảng cáo bất kỳ trên trang đó (Nhiều khi bạn bị buộc phải click chứ không cần phải chủ động click). Bạn sẽ thấy rằng website tự mở ra một Tab mới và khi bạn cố gắng back về trang trước đó thì dù bạn back 10 lần hay 20 lần thì bạn cũng không thoát khỏi cái quảng cáo đó. Việc nay cho thấy rằng bạn đang bị điều hướng qua hàng loạt website, domain khác nhau chứ không phải một. Lời khuyên là bạn nhanh chóng tắt cái tab đó đi.

Chúng tôi cũng phát hiện ra rằng một trong những liên kết độc hại đã chuyển hướng đến một tặng phẩm giả cho các thiết bị iPhone 11, cho rằng nó được Google thiết lập như một phần của chương trình “Membership Rewards”.

Để làm cho ưu đãi này đáng tin cậy hơn, thông báo cũng tuyên bố rằng món quà là “dành riêng và chỉ dành cho người dùng Verizon Fios” trong khu vực được xác định cho người dùng. Tuy nhiên, nhận được món quà đòi hỏi phải hoàn thành một cuộc khảo sát, hoặc một câu hỏi ất ơ nào đó dành cho trẻ lên ba lên bốn. Và nếu bạn cả tin mà làm theo thì nhẹ bạn sẽ tốn thời gian để làm giàu cho người khác; nặng thì chia buồn trình duyện của bạn đã bị dính mã độc.

Nếu bạn không tự cách ly với xã hội thì những câu hỏi này như dành cho trẻ lên 3

Điều đáng nói là hình thức điều hướng, Phishing này lại vẫn còn đang lừa được rất nhiều người. Đồng ý là con người chúng ta ai cũng đều đôi lúc hơi “tham”, hơi “tưởng bở” mình đặc biệt may mắn nhưng mà may mắn mà đến liên tục thì… các bạn nên xem lại máy mình có đang cõng một đóng Ransomware hoặc Virus không nhé.

CTV DSH