Google Ads bị lạm dụng làm kênh phishing Uniswap(UNI), SEAL cảnh báo chiến dịch tấn công quảng cáo tài trợ nhắm vào người dùng tiền mã hóa Ethereum(ETH)

Các *từ khóa* nên nhắm tới trong bài: *Google Ads*, *quảng cáo Google*, *phishing*, *lừa đảo*, *Uniswap(UNI)*, *tiền mã hóa*, *Ethereum(ETH)*, *SEAL*, *tấn công quảng cáo tài trợ*.

---

Theo CoinDesk đưa tin ngày 13 (giờ địa phương), các *quảng cáo Google* dạng “tài trợ” đang bị tội phạm mạng lợi dụng làm kênh *phishing* nhắm vào người dùng *tiền mã hóa* suốt hơn một năm qua. Nhóm tấn công đã chạy quảng cáo giả mạo sàn phi tập trung *Uniswap(UNI)*, dẫn nạn nhân tới trang web lừa đảo và âm thầm rút đi số tiền ước tính lên tới hàng *trăm nghìn đô la*. *bình luận* Tình trạng lạm dụng *quảng cáo Google* cho thấy rủi ro lớn với người dùng nếu chỉ tin vào vị trí “top” trên trang tìm kiếm mà không kiểm tra kỹ tên miền.

Theo các nhóm nghiên cứu bảo mật, kịch bản tấn công diễn ra như sau: kẻ xấu nhắm vào khu vực quảng cáo nằm trên cùng kết quả tìm kiếm của *Google Ads*, sau đó cài đặt đường dẫn giả mạo sao cho hiển thị trước cả trang chính thức của *Uniswap(UNI)*. Chúng hoặc mua lại trực tiếp tài khoản quảng cáo, hoặc chiếm quyền điều khiển tài khoản của nhà quảng cáo hợp pháp, rồi đặt giá thầu cao hơn dịch vụ thật để chiếm vị trí đầu bảng.

Đáng chú ý, các *quảng cáo Google* độc hại này được che giấu rất tinh vi. Địa chỉ URL bề mặt được thiết kế trông “sạch”, đủ để vượt qua hệ thống kiểm duyệt tự động của Google. Đằng sau đó, những thành phần ẩn mới tải mã độc hoặc chuyển hướng sang tên miền lừa đảo. Khi người dùng nhấp vào *quảng cáo Google* và truy cập, họ sẽ thấy giao diện gần như giống hệt trang *Uniswap(UNI)* thật; mọi thao tác kết nối ví, ký giao dịch sau đó đều bị đẩy qua hạ tầng máy chủ do kẻ tấn công kiểm soát.

Nhà phân tích on-chain có biệt danh “b-block” cho biết đã lần theo dòng tiền bị đánh cắp và phát hiện một ví tiền liên quan đến trang *Uniswap(UNI)* giả nói trên. Hai ví được xác định hiện đang nắm giữ tổng cộng 146 *Ethereum(ETH)*, tương đương khoảng 306.000 đô la. Từ dữ liệu này, b-block ước tính tổng thiệt hại có thể đã vượt mức 400.000 đô la. *bình luận* Con số vài trăm nghìn đô la chỉ là phần nổi của tảng băng, vì không phải nạn nhân nào cũng phát hiện sớm và báo cáo.

Tổ chức phi lợi nhuận chuyên về an ninh mạng SEAL khẳng định đây không phải chiến dịch đơn lẻ mà là mô hình tấn công lặp lại trong thời gian dài. Thống kê của SEAL cho thấy, chỉ trong giai đoạn từ ngày 13 đến ngày 30 tháng 3 (giờ địa phương), đã có khoảng 1,27 triệu đô la bị rút khỏi ví người dùng thông qua các đường dẫn quảng cáo độc hại. Trong cùng thời gian, SEAL đã chặn được hơn 356 liên kết *phishing* dạng *quảng cáo Google* tài trợ. Theo SEAL, đây là “mức hoạt động điển hình mỗi tuần” trong chuỗi tấn công đã kéo dài hơn một năm qua.

Ở góc độ thị trường, Stacey Moore, nhà sáng lập công ty tiếp thị Web3 Green Dots, cũng công bố ảnh chụp màn hình *quảng cáo Google* giả mạo để cảnh báo cộng đồng. Bà chỉ trích Google đã “để mặc” vấn đề tồn tại nhiều năm dù nhận được vô số phản hồi. Nền tảng dữ liệu DeFiLlama cũng lên tiếng, cho rằng *Google Ads* hiện là một trong những kênh *phishing* phổ biến nhất nhắm vào người dùng *tiền mã hóa*, chỉ đứng sau các chiêu lừa qua mạng xã hội và email.

Chiến dịch tấn công lần này không chỉ dừng lại ở các dịch vụ như *Uniswap(UNI)*. Theo dữ liệu bảo mật gần đây, một số nhóm còn kết hợp liên kết chia sẻ công cụ AI với *quảng cáo Google* để phát tán mã độc trên máy tính Mac. Người dùng tưởng rằng đang cài đặt tiện ích hỗ trợ AI, nhưng thực chất tải về phần mềm độc hại có khả năng chiếm quyền điều khiển thiết bị và ví *tiền mã hóa*. Trong khi đó, trên Facebook, đã ghi nhận trường hợp quảng cáo mạo danh Microsoft(MSFT) dẫn tới trang tải “Windows 11” giả, cài mã đánh cắp thông tin và dữ liệu đăng nhập.

Các chuyên gia an ninh nhận định xu hướng tội phạm mạng khai thác nền tảng tìm kiếm và mạng quảng cáo sẽ còn tiếp diễn, nhất là khi *tiền mã hóa* ngày càng phổ biến và giá trị tài sản lưu trữ trong ví cá nhân tăng lên. Những thương hiệu được cộng đồng crypto tìm kiếm nhiều như *Uniswap(UNI)*, *MetaMask*, *Ethereum(ETH)* hay các sàn giao dịch lớn sẽ tiếp tục là miếng mồi ưu tiên. Vì vậy, ngay cả khi nhìn thấy *quảng cáo Google* ở vị trí đầu tiên, người dùng vẫn cần gõ lại địa chỉ thủ công hoặc kiểm tra kỹ tên miền, chứng chỉ bảo mật và các dấu hiệu bất thường trước khi kết nối ví.

*bình luận* Các vụ *phishing* lợi dụng *Google Ads* cho thấy mô hình “trả tiền để lên top” đang bị đảo chiều: thay vì chỉ là công cụ marketing, nó trở thành lớp ngụy trang hợp pháp cho tội phạm. Cho tới khi các nền tảng quảng cáo siết chặt kiểm duyệt và truy vết trách nhiệm, người dùng *tiền mã hóa* buộc phải coi mọi *quảng cáo Google* liên quan đến ví, sàn hay DeFi là “vùng rủi ro cao” và xác minh đa tầng trước khi thực hiện bất kỳ giao dịch nào.