Các chiến dịch quảng cáo lừa đảo tinh vi đang lợi dụng tên tuổi của các thương hiệu uy tín để điều hướng người dùng đến các sòng bạc trực tuyến không liên quan. Thay vì xây dựng các trang web ngân hàng giả mạo hay email lừa đảo (phishing), các đối tượng này khai thác sự tin tưởng mà người dùng dành cho các logo quen thuộc. Nghiên cứu từ Netcraft đã xác định các chiến dịch quảng cáo lừa đảo này và nhận thấy chúng được tổ chức bài bản hơn nhiều so với các chiêu trò câu khách thông thường.
Chiến Lược Tấn Công Tinh Vi
Các quảng cáo này xuất hiện trên nhiều nền tảng mạng xã hội phổ biến như Facebook, Instagram, TikTok và Threads. Chúng đưa ra tuyên bố giả mạo rằng một thương hiệu quen thuộc, ví dụ như ngân hàng, nhà bán lẻ hoặc dịch vụ phát trực tuyến, đã ra mắt trò chơi slot hoặc casino riêng của họ.
Các Phương Thức Lừa Đảo Đa Dạng
Netcraft đã chỉ ra ba phương pháp chính được sử dụng trong các chiến dịch này, mỗi phương pháp thể hiện một mức độ đầu tư công phu khác nhau.
Phiên Bản Đơn Giản
Phiên bản đơn giản nhất chỉ đơn thuần là gắn tên thương hiệu lên một quảng cáo slot game chung chung, dựa vào hình ảnh người dùng thông thường trong các cảnh sinh hoạt đời thường để tăng tính thuyết phục. Điều này cho thấy một hình thức lừa đảo qua quảng cáo khá cơ bản.
Phiên Bản Nâng Cao
Một phiên bản cầu kỳ hơn sử dụng logo, bảng màu và các ảnh chụp màn hình ứng dụng giả mạo của thương hiệu. Ví dụ, một chiến dịch nhắm vào Monzo hiển thị số dư tài khoản bị làm giả bên cạnh văn bản tuyên bố ngân hàng đã “chính thức ra mắt các trò chơi slot trực tuyến”, kèm theo mã sắp xếp (sort code) thật của Monzo để tăng độ tin cậy.
Phiên Bản Chuyên Nghiệp Với AI
Chiến thuật thuyết phục nhất sử dụng các video quảng cáo được tạo ra bằng trí tuệ nhân tạo (AI), được dàn dựng trông giống như được quay bên ngoài các địa điểm thực tế của thương hiệu, với sự góp mặt của nhân viên giả mạo và thương hiệu xác thực. Đối với những người xem nhận ra công ty, những đoạn phim này khó có thể bị bác bỏ là giả mạo.
Cơ Chế Hoạt Động Của Quảng Cáo Lừa Đảo
Các quảng cáo này dẫn người dùng đến một trang đích (landing page) được thiết kế để trông giống như danh sách ứng dụng chính thức, đầy đủ với logo thương hiệu và tên nhà phát triển bị bịa đặt. Từ đó, người dùng được hướng dẫn cài đặt thứ trông giống như một ứng dụng nhưng thực chất là một Progressive Web App (PWA) – một lối tắt trình duyệt được ngụy trang thành ứng dụng gốc.
Khi được mở, lối tắt này sẽ âm thầm tải một trang web cờ bạc không liên quan thông qua các liên kết theo dõi affiliate, tạo ra khoản thanh toán cho người chạy quảng cáo. Các nền tảng affiliate báo cáo trả từ 50 đến 350 đô la cho mỗi người chơi đăng ký và gửi tiền.
Mở Rộng Tầm Ảnh Hưởng và Tái Sử Dụng Cơ Sở Hạ Tầng
Một số chiến dịch khác hiển thị một vòng quay may mắn luôn thắng, thúc đẩy người dùng “nhận giải thưởng” bằng cách cài đặt ứng dụng bị ngụy trang. Một số quảng cáo hiển thị một URL, chẳng hạn như địa chỉ Google Play, trong khi thực tế lại dẫn đến một nơi khác.
Netcraft thậm chí còn phát hiện những trường hợp một tên miền được xây dựng để mạo danh một thương hiệu sau đó được sử dụng để chạy quảng cáo cho một thương hiệu hoàn toàn khác, cho thấy các nhà điều hành tái sử dụng cơ sở hạ tầng qua các chiến dịch. Các thương hiệu bị nhắm mục tiêu trong kế hoạch này trải rộng trên nhiều ngành công nghiệp, bao gồm các ngân hàng tại Vương quốc Anh như Monzo, Revolut và Barclays; các tên tuổi quen thuộc như Tesco và Xổ số Quốc gia Ireland; cùng các tên tuổi toàn cầu như Amazon, Netflix và Facebook.
Mặc dù hầu hết các quảng cáo được xác định nhắm vào người tiêu dùng ở Vương quốc Anh, Netcraft cũng phát hiện các biến thể nhắm vào người dùng ở Đức và Tây Ban Nha, cùng với một quảng cáo đề nghị tiền thưởng bằng đô la Canada, cho thấy phạm vi quốc tế của các cuộc tấn công mạng này.
Cơ Sở Hạ Tầng Ẩn Danh và Khó Gỡ Bỏ
Sau khi cài đặt, ứng dụng giả mạo vẫn hiển thị tên thương hiệu bị mạo danh trên thanh tiêu đề trình duyệt ngay cả khi nó tải một trang web sòng bạc không liên quan ở phía dưới. Thông báo đẩy cũng được gửi để thúc giục người dùng hoàn tất đăng ký, duy trì ảo giác sau khi cài đặt.
Vì các trang web sòng bạc hoạt động như các nền tảng cờ bạc thực sự, có thật, với các trò chơi và ưu đãi hợp pháp, chúng không trực tiếp mạo danh bất kỳ thương hiệu nào, khiến chúng khó bị gỡ bỏ hơn so với quảng cáo và trang đích. Netcraft lưu ý rằng họ không thể xác nhận liệu các sòng bạc được liên kết này có giấy phép phù hợp cho thị trường mục tiêu của họ hay không.
Phòng Chống và Giảm Thiểu Rủi Ro
Bất kỳ ai gặp phải một quảng cáo tuyên bố một ngân hàng hoặc nhà bán lẻ đột nhiên ra mắt sản phẩm cờ bạc nên cảnh giác, xác minh các tuyên bố thông qua ứng dụng hoặc trang web chính thức của thương hiệu và tránh cài đặt bất cứ thứ gì được quảng cáo qua mạng xã hội.
Kiểm tra xem nút “cài đặt” có dẫn đến một cửa hàng ứng dụng hợp pháp hay không, thay vì một lối tắt trình duyệt, là một cách đơn giản để phát hiện sớm các vụ lừa đảo này. Việc nhận diện các mối đe dọa mạng ngày càng tinh vi là rất quan trọng.
Chỉ Số Tấn Công (IoCs)
Netcraft đã công bố các chỉ số về sự cố (Indicators of Compromise – IoCs) liên quan đến chiến dịch này trong một kho lưu trữ công khai trên GitHub, cung cấp cho các nhà nghiên cứu và nền tảng một phương tiện để theo dõi và chặn cơ sở hạ tầng đứng sau nó.
- URL và Tên Miền: Các URL và tên miền được sử dụng trong các chiến dịch quảng cáo và trang đích giả mạo.
- Tên Nhà Phát Triển Giả Mạo: Các tên được bịa đặt để trông giống như các nhà phát triển hợp pháp (ví dụ: “Tesco Entertainment UK Limited”).
- Cấu Trúc Quảng Cáo: Các mẫu quảng cáo sử dụng logo thương hiệu, bảng màu và ảnh chụp màn hình giả mạo.
- Loại Ứng Dụng: Việc phân phối dưới dạng Progressive Web Apps (PWAs) thay vì ứng dụng gốc.
Lưu ý: Địa chỉ IP và tên miền được làm mờ một cách cố ý (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc siêu liên kết ngẫu nhiên. Chỉ nên phục hồi định dạng chuẩn trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Nâng cao khả năng phát hiện mối đe dọa và điều tra nhanh chóng cho Đội An ninh mạng (SOC) của bạn. Tích hợp ANY.RUN vào SOC của bạn ngay hôm nay. (Nguồn: Netcraft)










