Chiêu trò đánh cắp cookie chạy quảng cáo lậu kiếm tiền

Mạng xã hội Facebook thông báo kiện 4 người Việt vì gây thiệt hại 36 triệu USD tiền quảng cáo trên nền tảng này, tuy nhiên chuyên gia cho rằng con số chỉ là “bề nổi”.

Trong thông báo chính thức, Facebook cho biết 4 người Việt Nam đã dùng thủ thuật để chiếm đoạt các tài khoản và chạy quảng cáo trái phép khiến mạng xã hội này mất 36 triệu USD (gần 830 tỉ đồng). Cụ thể, bằng cách đăng tải ứng dụng giả mạo “Quản lý quảng cáo cho Facebook” lên gian phần mềm Play Store (cho Android của Google), 4 người này đã thu thập được rất nhiều tài khoản của người dùng cũng như nhân viên các đại lý quảng cáo, tiếp thị.

Với thông tin đăng nhập có được, những người này cấp quyền cho các trang lừa đảo, livestream bán hàng để quảng cáo, tiếp cận người dùng. Để thu hút thêm nạn nhân, nhóm 4 người Việt nói trên đã chạy quảng cáo cho ứng dụng giả mạo của mình ngay chính trên nền tảng Facebook.

Facebook, Instagram

Mạng xã hội lớn nhất thế giới cho biết nhóm người đã dùng các tài khoản chiếm dụng được để chạy hơn 10.000 quảng cáo trên Facebook, Instagram (mạng xã hội chia sẻ hình ảnh cũng thuộc Facebook). Ngoài ra, nhóm cũng cho thuê lại tài khoản có thể chạy quảng cáo để livestream, dùng để quảng cáo cho các website bán vật phẩm của họ, hướng tới người dùng Mỹ, châu Âu và Việt Nam.

Trong đơn kiện, Facebook dẫn nhiều ảnh được đăng tải trên trang cá nhân của những người này, cho thấy cuộc sống xa xỉ mà họ khoe lên mạng xã hội như mua hàng loạt sản phẩm đắt tiền từ Apple, đi du thuyền, mua xe sang, sử dụng vé máy bay hạng thương gia…

Đánh cắp cookie

Facebook tuyên bố số tiền thiệt hại từ hành vi gian lận quảng cáo không nhỏ, hơn 36 triệu USD và cụ thể là bao nhiêu sẽ cần các phiên xét xử để xác định số chính xác.

"Facebook đã hoàn tiền cho các nạn nhân và giúp họ bảo mật tài khoản", đại diện Facebook cho biết trong thông cáo.

Một chuyên gia về quảng cáo Facebook và các dịch vụ liên quan tới nền tảng này tin rằng con số 36 triệu USD chỉ là “phần nổi của tảng băng chìm”. “36 triệu USD đúng là số tiền lớn, nhưng so với quy mô của hoạt động lừa đảo này thì tôi cho rằng quá nhỏ bởi thực tế chiêu trò đánh cắp cookie, chạy quảng cáo lậu đã diễn ra từ rất lâu, có quy mô toàn cầu và chỉ nói riêng mỗi tháng, số tiền Facebook bị thất thoát lớn hơn vậy rất nhiều”, anh cho biết.

Theo chuyên gia này, việc khởi kiện của Facebook giống một đòn cảnh cáo tới thế giới ngầm đang lợi dụng nền tảng của họ. Những gì mạng xã hội này thể hiện trong thông báo khởi kiện cho thấy Facebook đã theo dõi nhóm người này từ lâu và việc họ hoạt động rất tích cực, thể hiện cuộc sống xa hoa càng dễ biến mình thành tiêu điểm. “Nhóm 4 người này thực sự là một vụ nhỏ nếu nói về quy mô hoạt động và số tiền thiệt hại”, anh chia sẻ và cũng nhận định thêm hoạt động bị “đưa vào tầm ngắm” của nhóm này chủ yếu diễn ra tại thị trường Việt Nam (nơi chạy các quảng cáo từ tài khoản bị nhóm chiếm đoạt).

Liên quan tới việc Facebook để cho hiển thị quảng cáo ứng dụng giả mạo trình quản lý quảng cáo trên chính nền tảng của họ, chuyên gia đánh giá chính Facebook cũng đang bị nhà quảng cáo đánh lừa rằng đó chỉ là công cụ để hỗ trợ quảng cáo bởi hãng cho phép các doanh nghiệp phát triển phần mềm để tối ưu hóa vấn đề này. “Đây là chuyện lợi dụng khai thác tính năng, không phải lỗi trên hệ thống Facebook. Bản thân họ cũng biết tới vấn đề đó và có thuật ngữ riêng là ‘Lỗi né tránh và đánh lừa hệ thống’ trong phần chính sách của mình”, anh nói.

Facebook bị hack ra khỏi invoice

Đối với số tiền 36 triệu USD, nhiều người chuyên chạy quảng cáo Facebook khẳng định nhóm người Việt bị kiện không thể sở hữu hết số tiền trên. Cụ thể, 36 triệu USD chỉ là “số tiền hiển thị trong tài khoản quảng cáo ở Facebook”, không phải tiền mặt. Muốn biến chúng thành tiền mặt để chi tiêu, họ cần phải “bán” được cho những người mua và mức quy đổi thường là 10 - 30% giá trị. Ví dụ, trong ngân sách quảng cáo có 1 triệu USD thì người mua chỉ phải trải 100.000 - 300.000 USD tiền thật để sở hữu tài khoản đó.

Anh Nguyễn Đức Khôi – Giám đốc công ty TNHH Tư vấn Quảng cáo trực tuyến BEN cho biết chiêu bài ăn cắp cookies được thực hiện trót lọt và khả năng cao trong số nạn nhân có người sở hữu tài khoản invoice (tài khoản đối tác với Facebook, được phép chạy quảng cáo không giới hạn tiền và thanh toán vào cuối tháng). Với chính sách từ hãng, tài khoản invoice có thể chạy quảng cáo nhiều tỉ đồng mỗi ngày và khi nhóm người trên có được cookies của chỉ 1 trong số nhân viên được phân quyền trong tài khoản invoice thì họ sẽ tìm thật nhiều khách hàng rồi chạy quảng cáo ào ạt trong một đêm hoặc ngày.

“Việc này sẽ diễn ra cho tới khi chủ tài khoản phát hiện ra, tiến hành khóa và lọc nick Facebook bị hack ra khỏi invoice. Tôi từng biết những trường hợp của người quen chỉ qua một đêm bị chạy 2 – 3 tỉ đồng trong tài khoản”, anh Khôi chia sẻ.

Người đứng đầu công ty quảng cáo trực tuyến BEN khuyến cáo người dùng Facebook để bảo vệ tài khoản của mình, bản thân mỗi người phải tự hiểu được các thông tin, vấn đề về an toàn mạng, đặc biệt là trên Facebook. “Các tài khoản quảng cáo nên thêm nhiều người quản trị vì nếu có sự cố sẽ còn nick khác để can thiệp sớm. Bên cạnh đó, người giỏi nhất về an toàn, an ninh mạng trong đội ngũ quản trị viên phải là người có quyền kiểm soát cao nhất trong tài khoản quảng cáo”.

Fivestar: 
Average: 5 (1 vote)