Một chiến dịch lừa đảo (phishing) tinh vi, ban đầu được nhà báo Mexico Ignacio Gómez Villaseñor đưa tin, đã phát triển thành một mối đe dọa toàn cầu quy mô lớn. Phân tích từ các chuyên gia bảo mật của Silent Push Threat Analysts đã làm sáng tỏ phạm vi và mức độ phức tạp của chiến dịch này.
Tổng Quan Chiến Dịch Phishing Marketplace Toàn Cầu
Mô Tả Chiến Dịch
Ban đầu, chiến dịch này được thiết kế để tấn công có chủ đích vào đối tượng nói tiếng Tây Ban Nha trong sự kiện bán hàng thường niên “Hot Sale 2025” của Mexico, một sự kiện tương tự như Black Friday. Tuy nhiên, nó nhanh chóng mở rộng, biến thành một âm mưu lừa đảo chợ trực tuyến giả mạo quy mô lớn, ảnh hưởng đến người dùng nói tiếng Anh và tiếng Tây Ban Nha trên toàn thế giới.
Nghiên cứu chuyên sâu của Silent Push về hoạt động này đã phát hiện hàng nghìn trang web giả mạo lừa đảo, sao chép các nhà bán lẻ lớn như Apple, Harbor Freight Tools, Wrangler Jeans, REI, Wayfair, và Michael Kors, cùng nhiều thương hiệu khác. Mức độ tinh vi và quy mô của chiến dịch được thể hiện rõ qua việc sao chép tỉ mỉ các định danh thương hiệu nổi tiếng và khai thác các cơ chế thanh toán an toàn nhằm xây dựng lòng tin từ người dùng.
Phạm Vi Và Mức Độ Ảnh Hưởng
Điều đáng báo động hơn, các trang web lừa đảo này đã lạm dụng các dịch vụ thanh toán đáng tin cậy như MasterCard, Visa, PayPal và Google Pay. Mục tiêu chính là đánh cắp dữ liệu người dùng và các khoản thanh toán dưới vỏ bọc của các giao dịch hợp pháp. Bằng cách mạo danh các nền tảng thương mại điện tử uy tín và tích hợp các phương thức thanh toán quen thuộc, những kẻ tấn công đã tạo ra một môi trường giả mạo để lừa gạt nạn nhân.
Chiến dịch này không chỉ gây nguy hiểm cho từng người mua sắm cá nhân mà còn làm suy yếu lòng tin vào các thương hiệu lớn và toàn bộ hệ sinh thái thanh toán trực tuyến. Với hàng nghìn trang web giả mạo hoạt động đồng thời, nguy cơ lây lan và thiệt hại tài chính là rất đáng kể, ảnh hưởng đến cả người tiêu dùng và uy tín của các doanh nghiệp hợp pháp.
Kỹ Thuật Và Chiến Thuật Khai Thác
Giả Mạo Thương Hiệu và Website
Những kẻ tấn công đã thể hiện khả năng giả mạo một cách chi tiết. Các trang web lừa đảo không chỉ bắt chước giao diện người dùng (UI) và trải nghiệm người dùng (UX) của các trang thương mại điện tử thực mà còn cố gắng sao chép logo, bố cục sản phẩm và thậm chí cả các chính sách mua hàng giả mạo để tăng tính xác thực. Tuy nhiên, trong một số trường hợp, các chuyên gia bảo mật đã phát hiện ra những sai sót đáng chú ý, cho thấy sự vội vàng trong quá trình triển khai.
Ví dụ, một số tên miền như “harborfrieght[.]shop” chứa lỗi chính tả cố ý của “Harbor Freight”. Điều này không chỉ là một lỗi đơn thuần mà còn là một chiến thuật để vượt qua các bộ lọc tên miền chính xác hoặc để tạo ra các biến thể tên miền khi tên gốc đã bị chiếm dụng. Đáng chú ý hơn, một số trang web giả mạo này thậm chí còn nhân bản nội dung của các thương hiệu hoàn toàn khác, chẳng hạn như trang “harborfrieght[.]shop” lại sao chép toàn bộ trang web của Wrangler Jeans. Sự thiếu nhất quán này là một dấu hiệu rõ ràng cho thấy đây là một hoạt động giả mạo.
Các tên miền khác như “guitarcentersale[.]com” và “nordstromltems[.]com” thể hiện sự không nhất quán trong việc bắt chước mục tiêu của chúng, bằng cách hiển thị các sản phẩm không liên quan đến thương hiệu mà chúng đang giả mạo. Những dấu hiệu mâu thuẫn này là cờ đỏ quan trọng mà những người dùng cảnh giác có thể nhận biết để xác định tính lừa đảo của trang web.
Lạm Dụng Hệ Thống Thanh Toán
Chiến thuật lạm dụng các dịch vụ thanh toán uy tín là một điểm mấu chốt trong chiến dịch này. Kẻ tấn công không chỉ đơn thuần đánh cắp thông tin thẻ tín dụng mà còn sử dụng các phương thức tinh vi hơn để trục lợi. Thay vì xây dựng hệ thống thanh toán riêng, chúng tích hợp trực tiếp các cổng thanh toán phổ biến như MasterCard, Visa, PayPal và Google Pay vào các trang web giả mạo của mình. Việc này tạo ra một lớp vỏ bọc đáng tin cậy, khiến người dùng tin rằng họ đang thực hiện giao dịch an toàn trên một nền tảng hợp pháp.
Mục tiêu của việc lạm dụng này là lấy cắp dữ liệu người dùng và các khoản thanh toán trực tiếp. Khi người dùng nhập thông tin cá nhân và thanh toán trên các trang giả mạo, dữ liệu đó sẽ bị chặn và chuyển về phía kẻ tấn công, trong khi sản phẩm hoặc dịch vụ đã đặt mua không bao giờ được giao. Điều này không chỉ gây tổn thất tài chính trực tiếp cho nạn nhân mà còn có thể dẫn đến việc rò rỉ thông tin cá nhân và tài chính, mở đường cho các cuộc tấn công lừa đảo hoặc gian lận danh tính trong tương lai.
Đánh Lừa Qua Google Pay Widget
Một trong những phát hiện đáng báo động nhất của các nhà phân tích Silent Push là việc nhiều trang web lừa đảo, chẳng hạn như “rizzingupcart[.]com”, đã tích hợp các widget Google Pay chính hãng. Thông thường, Google Pay được thiết kế để bảo vệ người dùng bằng cách sử dụng số thẻ ảo thay vì tiết lộ chi tiết thẻ tín dụng thực. Cơ chế này được coi là một lớp bảo mật mạnh mẽ, giúp giảm thiểu rủi ro khi thông tin thẻ bị lộ.
Tuy nhiên, các tác nhân đe dọa đã vượt qua lớp bảo mật này bằng một phương pháp đơn giản nhưng hiệu quả: chúng chấp nhận thanh toán qua Google Pay, nhưng sau đó không giao sản phẩm. Về cơ bản, chúng bỏ túi số tiền mà không thực hiện đơn hàng. Bằng cách này, kẻ tấn công không cần phải trực tiếp đánh cắp chi tiết thẻ tín dụng của người dùng, mà vẫn chiếm đoạt được tiền một cách hiệu quả, lợi dụng sự tin tưởng của người dùng vào hệ thống thanh toán đáng tin cậy như Google Pay.
Nguồn Gốc Và Khả Năng Liên Kết Nhóm Tấn Công
Một dấu vết kỹ thuật quan trọng đã được phát hiện trong hạ tầng của chiến dịch, đó là sự hiện diện của các từ và ký tự tiếng Trung được nhúng vào. Dấu hiệu này cho thấy khả năng cao các nhà phát triển đứng sau mạng lưới này có nguồn gốc từ Trung Quốc. Phát hiện này củng cố giả thuyết về một nhóm tác nhân đe dọa được tổ chức tốt, phối hợp chặt chẽ và có nguồn lực đáng kể, đủ khả năng để triển khai một chiến dịch phishing toàn cầu với quy mô và độ phức tạp cao như vậy.
Tác Động Và Thách Thức Về Phòng Thủ
Hậu Quả Đối Với Người Dùng và Doanh Nghiệp
Chiến dịch này gây ra những hậu quả nghiêm trọng và đa chiều. Đối với người mua sắm cá nhân, rủi ro không chỉ giới hạn ở việc mất tiền từ các giao dịch giả mạo mà còn bao gồm nguy cơ rò rỉ thông tin cá nhân và tài chính, có thể bị lợi dụng cho các mục đích gian lận khác. Ngoài ra, trải nghiệm tiêu cực này có thể làm giảm đáng kể niềm tin của người dùng vào mua sắm trực tuyến và các phương thức thanh toán điện tử.
Đối với các thương hiệu lớn bị giả mạo, tác động còn rộng lớn hơn. Uy tín thương hiệu có thể bị tổn hại nghiêm trọng khi khách hàng bị lừa đảo trên các trang web giả mạo mang tên họ. Việc này đòi hỏi các doanh nghiệp phải đầu tư nhiều hơn vào việc theo dõi và xử lý các hoạt động mạo danh, cũng như giáo dục khách hàng về các mối đe dọa trực tuyến để bảo vệ thương hiệu và người tiêu dùng.
Giới Hạn của Các Biện Pháp Phản Ứng
Mặc dù nhiều trang web lừa đảo đã bị các nhà cung cấp dịch vụ lưu trữ gỡ xuống sau khi được phát hiện, hàng nghìn trang web vẫn còn hoạt động tính đến tháng 6 năm 2025. Thực tế này nhấn mạnh những hạn chế của các biện pháp an ninh mạng truyền thống, vốn thường mang tính phản ứng. Khi một mối đe dọa có quy mô lớn và dai dẳng như chiến dịch phishing này, việc chỉ dựa vào các hành động gỡ bỏ sau khi phát hiện là không đủ để kiềm chế hoàn toàn sự lây lan của nó.
Sự kiên trì và khả năng tái tạo nhanh chóng của những kẻ tấn công cho thấy chúng có khả năng liên tục tạo ra các tên miền và trang web mới, vượt qua các nỗ lực gỡ bỏ. Điều này đặt ra một thách thức lớn cho cộng đồng an ninh mạng và đòi hỏi một sự chuyển đổi sang các chiến lược phòng thủ chủ động hơn.
Giải Pháp Phòng Thủ Chủ Động
Theo báo cáo, Silent Push nhấn mạnh tầm quan trọng của phòng thủ chủ động thông qua các nguồn cấp dữ liệu Indicators of Future Attack (IOFA) của họ. Các nguồn cấp dữ liệu này được thiết kế để xác định và giảm thiểu rủi ro một cách chủ động, trước khi chúng có thể ảnh hưởng đến người tiêu dùng hoặc tổ chức. Thay vì chỉ phản ứng khi một cuộc tấn công đã diễn ra, IOFA tập trung vào việc dự đoán và ngăn chặn các mối đe dọa tiềm tàng, dựa trên các dấu hiệu sớm của hoạt động độc hại.
Phương pháp này cho phép các tổ chức và người dùng có thể thực hiện các biện pháp phòng ngừa cần thiết, chẳng hạn như chặn các tên miền độc hại tiềm năng hoặc cảnh báo người dùng về các trang web lừa đảo mới nổi trước khi chúng gây ra thiệt hại. Silent Push tiếp tục theo dõi mối đe dọa đang phát triển này, kêu gọi người dùng và các tổ chức duy trì cảnh giác và báo cáo các hoạt động đáng ngờ để góp phần vào nỗ lực phòng thủ chung của cộng đồng.
