MinhSec
Writer
Một làn sóng tấn công mạng mới đang nhắm vào người dùng tiền điện tử bằng cách lợi dụng chính nền tảng quảng cáo của Google. Thủ đoạn này sử dụng các quảng cáo giả mạo, được thiết kế giống hệt liên kết chính thức của các ứng dụng crypto, khiến người dùng khó phân biệt thật - giả.
Khi nhấp vào các quảng cáo này, nạn nhân sẽ bị chuyển hướng đến các trang web giả, nơi tin tặc tìm cách đánh cắp tài sản hoặc dụ người dùng nhập cụm từ khôi phục ví. Các nền tảng bị mạo danh nhiều nhất bao gồm Uniswap, PancakeSwap, Morpho Finance hay ví phần cứng Ledger.
Theo các chuyên gia từ SecurityAlliance, hoạt động này đã gia tăng mạnh trong năm 2026 và đạt đỉnh vào tháng 3. Chỉ trong khoảng thời gian ngắn, ít nhất hơn 1,27 triệu USD đã bị đánh cắp, trong đó một vụ riêng lẻ gây thiệt hại tới 385.000 USD.
Sau đó, nội dung độc hại thực sự được tải ẩn thông qua các iframe và mã JavaScript. Hệ thống còn có khả năng “phân biệt” người dùng: nếu phát hiện là chuyên gia bảo mật, nó sẽ chuyển hướng sang các trang an toàn như Wikipedia; còn người dùng bình thường sẽ bị dẫn đến bản sao gần như hoàn hảo của trang web thật.
Các hình thức tấn công bao gồm:
Đáng lo ngại, khi một liên kết độc hại bị gỡ, hệ thống của kẻ tấn công có thể nhanh chóng tạo quảng cáo và trang mới chỉ trong vài phút, khiến việc ngăn chặn trở nên khó khăn.
Thay vào đó, hãy:
cybersecuritynews.com
Khi nhấp vào các quảng cáo này, nạn nhân sẽ bị chuyển hướng đến các trang web giả, nơi tin tặc tìm cách đánh cắp tài sản hoặc dụ người dùng nhập cụm từ khôi phục ví. Các nền tảng bị mạo danh nhiều nhất bao gồm Uniswap, PancakeSwap, Morpho Finance hay ví phần cứng Ledger.
Theo các chuyên gia từ SecurityAlliance, hoạt động này đã gia tăng mạnh trong năm 2026 và đạt đỉnh vào tháng 3. Chỉ trong khoảng thời gian ngắn, ít nhất hơn 1,27 triệu USD đã bị đánh cắp, trong đó một vụ riêng lẻ gây thiệt hại tới 385.000 USD.
Cách thức tấn công tinh vi khiến hệ thống kiểm duyệt khó phát hiện
Điểm nguy hiểm của chiến dịch nằm ở cách vận hành cực kỳ tinh vi. Thay vì dẫn trực tiếp đến trang độc hại, các quảng cáo sẽ chuyển người dùng qua những tên miền đáng tin cậy của Google như sites.google.com hoặc docs.google.com, giúp dễ dàng vượt qua hệ thống kiểm duyệt.
Sau đó, nội dung độc hại thực sự được tải ẩn thông qua các iframe và mã JavaScript. Hệ thống còn có khả năng “phân biệt” người dùng: nếu phát hiện là chuyên gia bảo mật, nó sẽ chuyển hướng sang các trang an toàn như Wikipedia; còn người dùng bình thường sẽ bị dẫn đến bản sao gần như hoàn hảo của trang web thật.
Các hình thức tấn công bao gồm:
- Phần mềm rút tiền ví: ép người dùng ký giao dịch độc hại
- Trang giả mạo: đánh cắp cụm từ khôi phục ví
- Tiện ích trình duyệt giả: phát tán qua Chrome Web Store
Đáng lo ngại, khi một liên kết độc hại bị gỡ, hệ thống của kẻ tấn công có thể nhanh chóng tạo quảng cáo và trang mới chỉ trong vài phút, khiến việc ngăn chặn trở nên khó khăn.
Cảnh báo: Tránh tìm kiếm Google khi truy cập ứng dụng crypto
Các chuyên gia khuyến cáo người dùng nên ngừng truy cập ứng dụng tiền điện tử thông qua tìm kiếm Google, kể cả với các kết quả “được tài trợ”.Thay vào đó, hãy:
- Lưu sẵn URL chính thức vào bookmark và truy cập trực tiếp
- Kiểm tra kỹ địa chỉ website trước khi kết nối ví
- Không bao giờ nhập cụm từ khôi phục ví trên bất kỳ trang web nào
- Hạn chế cài đặt tiện ích trình duyệt không rõ nguồn gốc
Malicious Google Ads Target Crypto Users With Wallet Drainers and Seed Phrase Theft
Attackers abuse Google Ads to push fake crypto sites, draining wallets or stealing seed phrases, with activity peaking in March 2026.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
