Lừa đảo "tick xanh" qua Facebook Ads độc hại để đánh cắp tài khoản của người dùng

[WhiteHat Team]

Hàng loạt người dùng Facebook, đặc biệt là các nhà sáng tạo nội dung và doanh nghiệp nhỏ, đang trở thành nạn nhân của một chiến dịch lừa đảo tinh vi. Nhắm vào mong muốn “được xác minh tài khoản” (tức là có tick xanh), các nhóm tin tặc đã tung ra hàng chục quảng cáo giả mạo trên nền tảng Meta, đánh lừa nạn nhân cài đặt tiện ích trình duyệt chứa mã độc để đánh cắp tài khoản Facebook, đặc biệt là các tài khoản Business có quyền chạy quảng cáo.

​

Các quảng cáo độc hại bị phát hiện đều được đăng từ cùng một tài khoản Facebook, sử dụng video hướng dẫn “cách cài đặt tick xanh” bằng một tiện ích mở rộng trình duyệt (dạng ".CRX file"), được lưu trữ công khai trên "Box.com".

Video có giọng thuyết minh bằng tiếng Việt và mã nguồn tiện ích chứa các chú thích tiếng Việt như "tùy chỉnh kích cỡ tick xanh", điều này dấy lên sự lo ngại vô cùng lớn cho thị trường và người dùng tại Việt Nam.

Tiện ích giả mạo này không thực sự tạo tick xanh, mà bí mật cài một đoạn mã vào trang Facebook, nhằm:

• Đánh cắp cookie đăng nhập
• Thu thập địa chỉ IP thông qua "ipinfo.io"
• Gửi toàn bộ thông tin đến bot Telegram do kẻ tấn công kiểm soát

Mặc dù mã nguồn bị đánh giá là “ẩn danh sơ sài” (dùng tên biến kiểu var1, dataTransfer), tiện ích vẫn đủ sức chiếm quyền truy cập tài khoản Facebook của người dùng, sau đó tự động truy cập vào API Facebook để dò tìm các tài khoản Business liên kết, rồi bán lại dữ liệu này trên các kênh Telegram đen.

Các đoạn mã được lập trình theo hướng modular (có thể chỉnh sửa nhanh), cho phép tin tặc sản xuất hàng loạt video, tiện ích và liên tục thay đổi máy chủ điều khiển, tránh bị Meta phát hiện và gỡ bỏ.

Các tài khoản Business bị chiếm quyền sẽ bị lợi dụng để:

• Chạy quảng cáo lừa đảo mới
• Tiêu tốn ngân sách quảng cáo của nạn nhân
• Tái sử dụng Fanpage cho các chiến dịch giả mạo, cờ bạc, scam...

Vì tiện ích chỉ đánh cắp cookie, ban đầu nạn nhân không nhận ra có gì bất thường. Đến khi thấy ngân sách quảng cáo bị “rút sạch” hoặc Fanpage bị đổi chủ, thì kẻ tấn công đã thu lời và biến mất.

Những điều người dùng và doanh nghiệp cần cảnh giác:

• Không có bất kỳ tiện ích hợp pháp nào giúp bạn có tick xanh Meta. Xác minh tài khoản luôn qua quy trình chính thức của Meta.
• Không cài đặt tiện ích từ link lạ, file chia sẻ (.crx) trên các nền tảng như Box, Mediafire, v.v.
• Chỉ cài tiện ích trình duyệt từ kho chính thức như Chrome Web Store hoặc Firefox Add-ons.
• Kích hoạt xác thực 2 yếu tố (2FA) cho tài khoản cá nhân và Business.
• Doanh nghiệp nên có chính sách kiểm soát extension trình duyệt, dùng các giải pháp bảo mật đầu cuối chuyên biệt như Bitdefender Ultimate Small Business Security, nhằm chặn mã độc, phát hiện phishing và giám sát dữ liệu.

Chiến dịch lừa đảo tinh vi nhắm vào đối tượng người dùng mong muốn “có tick xanh” đang tạo ra vòng xoáy tội phạm mạng tự vận hành, từ đánh cắp cookie đến chiếm tài khoản, rồi quay vòng để tiếp tục lừa thêm người khác. Người dùng, đặc biệt là các cá nhân, KOL, KOC, Streamer, Chủ shop online, Doanh nghiệp nhỏ,... đều cần hết sức tỉnh táo trước những quảng cáo làm này, làm kia có vẻ "xịn sò" nhưng toàn là yêu cầu cài thêm gì đó vào trình duyệt và sau đó là sự hoành hành của hacker và hậu quả thì nạn nhân cuối sẽ phải hứng chịu toàn bộ.

WhiteHat​