Bạn có bao giờ nghĩ rằng chính Google - gã khổng lồ công nghệ được tin tưởng nhất - lại trở thành công cụ giúp hacker đánh cắp thông tin đăng nhập của bạn? Một chiến dịch phishing đang lợi dụng hệ thống quảng cáo Google Ads để nhắm vào ManageWP - nền tảng quản lý website WordPress của GoDaddy. Điều đáng lo ngại là nạn nhân hoàn toàn có thể tin tưởng vào kết quả tìm kiếm này vì chúng xuất hiện ở vị trí cao nhất. Chúng tôi cho rằng đây là một bước tiến mới trong xu hướng tấn công qua các kênh quảng cáo hợp pháp.

Khi tìm kiếm trở thành bẫy

Thủ đoạn của nhóm hacker được đánh giá là cực kỳ tinh vi. Thay vì gửi email lừa đảo truyền thống, chúng mua quảng cáo Google Ads với từ khóa 'ManageWP login' và các biến thể liên quan. Khi người dùng tìm kiếm cách đăng nhập vào nền tảng quản lý WordPress, kết quả đầu tiên họ thấy chính là trang web giả mạo có nhãn 'Sponsored' (Tài trợ). Điều nguy hiểm là domain được tạo ra trông gần giống hệt trang chính thức, chỉ khác biệt vài ký tự khó nhận ra.

Sau khi nạn nhân click vào liên kết và nhập thông tin đăng nhập, dữ liệu sẽ được gửi thẳng về server của hacker. Đặc biệt, trang web giả còn chuyển hướng nạn nhân về trang chính thức sau khi 'ăn cắp' thông tin, khiến họ không hề hay biết mình đã bị lừa. Chúng tôi nhận thấy đây chính là điểm khác biệt lớn so với các cuộc tấn công phishing thông thường - mức độ tinh vi và khó phát hiện cao hơn rất nhiều.

Tại sao Google Ads lại thành 'cửa ngõ' cho hacker?

Hệ thống Google Ads hoạt động theo mô hình đấu giá từ khóa - ai trả tiền cao hơn sẽ xuất hiện ở vị trí cao hơn. Mặc dù Google có các chính sách nghiêm ngặt về nội dung quảng cáo, nhưng việc kiểm duyệt thủ công hàng triệu quảng cáo mỗi ngày là không khả thi. Hacker lợi dụng khoảng thời gian từ khi quảng cáo được phê duyệt tự động cho đến khi bị phát hiện và gỡ bỏ để thực hiện chiến dịch tấn công. Thông thường, khoảng thời gian này kéo dài từ vài giờ đến vài ngày - đủ để thu thập hàng trăm thông tin đăng nhập.

ManageWP là nền tảng cho phép quản lý hàng trăm website WordPress từ một dashboard duy nhất, được ưa chuộng bởi các agency, freelancer và doanh nghiệp. Một khi hacker chiếm được quyền truy cập ManageWP, chúng có thể kiểm soát toàn bộ hệ thống website của nạn nhân. Theo thống kê của W3Techs, WordPress chiếm 43% tổng số website trên toàn cầu, trong đó có hàng chục nghìn website Việt Nam của các cơ quan, doanh nghiệp và tổ chức.

Cơn ác mộng cho doanh nghiệp Việt Nam

Tác động của cuộc tấn công này có thể cực kỳ nghiêm trọng, đặc biệt với các doanh nghiệp Việt Nam đang số hóa mạnh mẽ. Khi hacker chiếm quyền kiểm soát ManageWP, chúng có thể cài đặt mã độc lên tất cả website trong hệ thống, đánh cắp dữ liệu khách hàng, thay đổi nội dung hoặc sử dụng website làm bàn đạp cho các cuộc tấn công khác. Một công ty marketing có 50 website khách hàng có thể mất toàn bộ hệ thống chỉ trong một đêm.

Chúng tôi đánh giá đây là xu hướng tấn công mới nhắm vào 'điểm chạm' giữa doanh nghiệp và khách hàng. Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), năm 2023 có hơn 13.000 cuộc tấn công mạng nhắm vào các tổ chức Việt Nam, tăng 30% so với năm trước. Việc lợi dụng các nền tảng quảng cáo uy tín để thực hiện tấn công đang trở thành mối đe dọa lớn mà nhiều doanh nghiệp chưa lường trước được.

Cách bảo vệ bản thân và doanh nghiệp

Điều quan trọng nhất là luôn kiểm tra kỹ URL trước khi nhập thông tin đăng nhập. Thay vì click vào kết quả tìm kiếm, hãy gõ trực tiếp địa chỉ managewp.com vào thanh địa chỉ trình duyệt. Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, đặc biệt là ManageWP và các nền tảng quản lý website. Sử dụng password manager để tránh nhầm lẫn giữa trang thật và trang giả - công cụ này chỉ tự động điền mật khẩu khi domain chính xác 100%.

Đối với doanh nghiệp, cần thiết lập chính sách truy cập mạng nghiêm ngặt và đào tạo nhân viên nhận diện các cuộc tấn công phishing qua quảng cáo. Thường xuyên kiểm tra log hoạt động trên ManageWP để phát hiện các truy cập bất thường. Chúng tôi khuyến nghị các công ty nên có kế hoạch ứng phó sự cố mạng và backup dữ liệu định kỳ. Khi phát hiện bất kỳ dấu hiệu bất thường nào, hãy lập tức thay đổi mật khẩu và liên hệ với nhà cung cấp dịch vụ để được hỗ trợ.