Hai tiện ích mở rộng chặn quảng cáo (Adblocker) dành cho Chrome bị phát hiện có hành vi lừa đảo

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Tiện ích chặn quảng cáo cho Chrome

Hai tiện ích mở rộng chặn quảng cáo của Google Chrome với tên gọi giống như bản nguyên gốc – AdBlock và uBlock Origin trên Chrome Web Store, mới đây đã bị bắt gặp nhồi cookie (stuff cookie) vào trình duyệt web của hàng triệu người dùng nhằm lừa đảo chiếm đoạt doanh thu affiliate từ các chương trình giới thiệu (referral scheme).

Có một sự thật không thể chối cãi rằng các tiện ích mở rộng đã giúp bổ sung rất nhiều tính năng hữu ích cho trình duyệt web, giúp trải nghiệm trực tuyến của người dùng trở nên tuyệt vời và hiệu quả hơn. Tuy nhiên, bên cạnh đó, những tiện ích này cũng mang tới nhiều hiểm họa cho quyền riêng tư và bảo mật của người dùng.

Là bộ phận có mối liên hệ yếu nhất và được giám sát lỏng lẻo nhất trong mô hình bảo mật trình duyệt, các tiện ích mở rộng nằm giữa ứng dụng trình duyệt và Internet – từ đó chúng có thể tìm kiếm các trang web mà người dùng truy cập, sau đó chặn, sửa đổi và ngăn mọi yêu cầu dựa trên các tính năng mà chúng được thiết kế.

Các tiện ích mở rộng có thể trở nên độc hại sau khi được sử dụng rộng rãi

Ngoài các tiện ích được tạo ra với mục đích xấu ngay từ ban đầu thì trong những năm gần đây, khi một số tiện ích mở rộng Chrome và Firefox hợp pháp đạt được số lượng người dùng nhất định, các nhà phát triển sẽ tự biến chúng thành công cụ “đen” để tạo doanh thu bất hợp pháp hoặc các hacker cũng có thể tấn công và xâm nhập để thực hiện các hành vi độc hại.

Các nhà nghiên cứu tại Adguard đã phát hiện ra hai tiện ích mở rộng Chrome mới đây ngấm ngầm mạo danh hai tiện ích chặn quảng cáo phổ biến để lừa người dùng tải về, bao gồm:

  • AdBlock của AdBlock, Inc – hơn 800.000 người dùng
  • uBlock của Charlie Lee – hơn 850.000 người dùng

Mặc dù nhìn bề ngoài các tiện ích này vẫn hoạt động hoàn toàn bình thường như bất kỳ trình chặn quảng cáo nào khác bằng cách xóa các quảng cáo từ trang web mà người dùng ghé thăm. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra việc những tiện ích này đang bí mật thực hiện “Cookie Stuffing” (Tạm dịch: nhồi cookie) như một chiêu trò gian lận quảng cáo để tạo doanh thu cho các nhà phát triển.

Quy trình gian lận quảng cáo nhồi cookie

Cookie Stuffing, còn được gọi là Cookie Drop, là một trong những thủ đoạn lừa đảo phổ biến nhất trong đó một trang web hoặc tiện ích mở rộng trình duyệt thả một số cookie liên kết vào trình duyệt web của người dùng mà không có sự cho phép hoặc nhận thức rõ ràng của họ.

Các cookie theo dõi liên kết này sau đó theo dõi các hoạt động duyệt web của người dùng. Nếu họ mua hàng trực tuyến, những kẻ nhồi cookie (cookie stuffer) sẽ nhận được tiền hoa hồng cho doanh số mà thực tế là chúng không hề tạo ra. Bên cạnh đó, những kẻ này còn có khả năng đánh cắp tín dụng và quy kết gian lận cho một người khác.

Hai tiện ích mở rộng chặn quảng cáo đề cập ở trên được tìm thấy gửi yêu cầu tới URL cho mỗi tên miền người dùng mới ghé thăm sau khi được cài đặt khoảng 55 giờ, nhằm nhận liên kết affiliate từ các trang web mà người dùng đó đã truy cập.

Các nhà phát triển kiếm hàng triệu đô la mỗi tháng nhờ lừa đảo quảng cáo

Hai tiện ích với 1,6 triệu người dùng đang hoạt động đã nhồi cookie của 300 trang web từ 10000 website phổ biến nhất của Alexa hiện nay bao gồm Teamviewer, Microsoft, Linkedin, AliExpress và booking.com. Theo các nhà nghiên cứu thì có khả năng các nhà phát triển của các tiện ích này đã kiếm được hàng triệu đô la mỗi tháng nhờ hoạt động này.

Các nhà nghiên cứu cho biết trên thực tế chí ít vẫn có mặt tích cực, đó là vì kế hoạch lừa đảo này chưa được bao trùm toàn bộ, bởi vậy chủ sở hữu của các chương trình liên kết (affiliate) có thể theo dõi dòng tiền và tìm ra kẻ đứng sau kế hoạch này.

Một điều thú vị khác về các tiện ích mở rộng này là nó có chứa một số cơ chế tự bảo vệ. Chẳng hạn, nó sẽ tự động phát hiện nếu bảng điều khiển dành cho nhà phát triển mở và sẽ ngay lập tức ngừng mọi hoạt động đáng ngờ.

Google đã xóa hai tiện ích mở rộng khỏi Cửa hàng Chrome trực tuyến

Mặc dù nhận được nhiều báo cáo về cách các tiện ích này đánh lừa người dùng bằng tên của các tiện ích phổ biến khác, Google đã không xóa chúng khỏi Cửa hàng Chrome trực tuyến vì chính sách của Google cho phép nhiều tiện ích mở rộng được phép sử dụng cùng tên.

Tuy nhiên, sau khi các nhà nghiên cứu của AdGuard báo cáo phát hiện về hành vi độc hại của hai tiện ích mở rộng, gã khổng lồ công nghệ đã quyết định xóa cả hai tiện ích này khỏi Google Chrome Store.

Vì tiện ích mở rộng trình duyệt có quyền truy cập vào tất cả các trang web bạn truy cập, nên thực tế nó có thể làm bất cứ điều gì, kể cả việc đánh cắp mật khẩu tài khoản trực tuyến của bạn. Vì vậy, bạn nên cài đặt càng ít tiện ích mở rộng càng tốt và chỉ nên cài đặt các tiện ích từ những công ty thật sự uy tín.

Trước khi cài đặt bất kỳ tiện ích mở rộng hoặc ứng dụng nào trên điện thoại di động của bạn, hãy luôn tự hỏi mình có thực sự cần nó không?

THN