Lật tẩy mạng lưới 15.000 website lừa đảo đầu tư AI

Ví dụ về một biểu mẫu web nhúng trong lừa đảo đầu tư. Điểm mấu chốt của mạng lưới này nằm ở sự kết hợp giữa trình theo dõi quảng cáo và các hệ thống điều hướng lưu lượng thông minh.

"Đế chế" lừa đảo ẩn mình dưới bóng quảng cáo

Một báo cáo mới nhất từ TechRadar và Infoblox đã phơi bày sự tồn tại của một mạng lưới khổng lồ gồm hơn 15.000 trang web lừa đảo.

Thay vì sử dụng các phương thức tấn công truyền thống, nhóm tội phạm này vận hành một mô hình "Tội phạm mạng như một dịch vụ" (CaaS) cực kỳ chuyên nghiệp, tập trung vào các dự án đầu tư AI và tiền điện tử giả mạo.

Điểm tinh vi nhất của chiến dịch là việc lợi dụng các trình theo dõi quảng cáo (ad trackers) phổ biến như Facebook Pixel hay Google Analytics.

Bằng cách cài đặt các công cụ này, kẻ tấn công không chỉ thu thập dữ liệu chi tiết về hành vi người dùng mà còn có thể tối ưu hóa các chiến dịch quảng cáo để nhắm mục tiêu chính xác vào những người có xu hướng quan tâm đến tài chính, từ đó gia tăng tỷ lệ chuyển đổi "nạn nhân".

Biểu mẫu web nhúng với trường mật khẩu được tạo tự động.

Keitaro TDS: "Bộ điều phối" ẩn danh sau 15.000 website

Theo phân tích từ Infoblox, chìa khóa giúp mạng lưới này duy trì sự bền bỉ chính là việc sử dụng Keitaro TDS (Traffic Distribution System). Đây là một hệ thống phân phối lưu lượng thường được các nhà tiếp thị hợp pháp sử dụng, nhưng đã bị giới tội phạm mạng "vũ khí hóa" để thực hiện các bộ lọc tinh vi:

- Lọc người dùng thực và bot: Keitaro cho phép kẻ tấn công phân biệt đâu là nạn nhân tiềm năng và đâu là các công cụ quét tự động của công ty bảo mật. Nếu hệ thống phát hiện một bot an ninh đang truy cập, nó sẽ hiển thị nội dung hoàn toàn sạch.

- Điều hướng theo khu vực địa lý: Hệ thống tự động nhận diện vị trí của người dùng để hiển thị ngôn ngữ và giao diện giả mạo các tờ báo địa phương uy tín, nhằm tối đa hóa lòng tin.

- Xóa dấu vết (Cloaking): Keitaro tạo ra một chuỗi chuyển hướng phức tạp, khiến việc truy vết nguồn gốc của trang web lừa đảo trở nên cực kỳ khó khăn đối với các trình duyệt và phần mềm diệt virus.

Quy trình "săn mồi" 4 bước khép kín

Sự kết hợp giữa trình theo dõi quảng cáo và Keitaro TDS tạo nên một quy trình lừa đảo vô cùng chặt chẽ:

Tiếp cận qua mạng xã hội: Nạn nhân thấy các quảng cáo hấp dẫn về nền tảng đầu tư AI tự động sinh lời cao trên Facebook hoặc Instagram.

Sàng lọc qua Keitaro: Khi người dùng nhấn vào link, hệ thống Keitaro TDS sẽ ngay lập tức phân tích thiết bị, địa chỉ IP và hành vi. Nếu vượt qua lớp lọc "người dùng thực", họ mới được dẫn đến trang đích.

Thao túng tâm lý bằng AI: Trang đích sử dụng hình ảnh Deepfake hoặc các bài viết giả mạo người nổi tiếng để ca ngợi công nghệ AI đầu tư. Tại đây, trình theo dõi quảng cáo (Pixel) sẽ ghi lại hoạt động của người dùng để tiếp tục "bám đuổi" (retargeting) nếu họ chưa đăng ký ngay.

Chiếm đoạt tài sản: Sau khi để lại thông tin, nạn nhân sẽ được các "tư vấn viên" liên hệ trực tiếp qua điện thoại hoặc ứng dụng nhắn tin để thuyết phục nạp tiền vào các ví điện tử không thể truy vết.

Thách thức trong việc triệt phá

Mạng lưới 15.000 website này không hoạt động độc lập mà được quản lý tự động qua các bộ công cụ (kits). Khi một tên miền bị các tổ chức bảo mật như Infoblox phát hiện và đưa vào danh sách đen, hệ thống Keitaro sẽ tự động kích hoạt hàng trăm tên miền dự phòng khác ngay lập tức. Sự linh hoạt này khiến việc chặn đứng chiến dịch giống như một trò chơi "đuổi hình bắt bóng" trên không gian mạng.

Vụ việc là lời nhắc nhở rằng tội phạm mạng đang ngày càng chuyên nghiệp hóa, sử dụng chính những công cụ marketing hiện đại nhất để tấn công người dùng. Người dùng cần đặc biệt cảnh giác với các lời mời chào đầu tư có lợi nhuận đột biến, luôn kiểm tra kỹ tên miền và không cung cấp thông tin cá nhân cho các nền tảng thiếu minh bạch. Trong kỷ nguyên AI, sự tỉnh táo và kiến thức về bảo mật chính là lá chắn cuối cùng của mỗi cá nhân.

Đỗ Tho