Một chiến dịch tấn công mạng phức tạp đã được phát hiện, sử dụng các quảng cáo Google Ads giả mạo Tesla để lừa người tiêu dùng đặt hàng trước ảo cho robot Optimus chưa được công bố. Hoạt động này không chỉ phơi bày một phương thức lừa đảo tinh vi mà còn minh chứng cho sự thích nghi của các tác nhân độc hại trong việc khai thác niềm tin công chúng vào các xu hướng công nghệ mới. Đây là một hình thái mới của mối đe dọa mạng, kết hợp kỹ thuật xã hội với hạ tầng kỹ thuật nhằm mục đích lừa đảo tài chính.

Chi tiết Chiến dịch Tấn công Lừa đảo Lớn

Các nhà nghiên cứu bảo mật đã xác định nhiều tên miền độc hại được thiết kế để bắt chước chính xác trang web chính thức của Tesla. Mục tiêu chính của chúng là khai thác sự quen thuộc của người dùng với các hoạt động đặt cọc sản phẩm của Tesla trong quá khứ, ví dụ điển hình là các đơn đặt hàng trước cho Cybertruck.

Những trang web lừa đảo này được đẩy lên vị trí nổi bật trong các kết quả tìm kiếm được tài trợ trên Google khi người dùng tìm kiếm các cụm từ như “Optimus Tesla preorder”. Nạn nhân sau đó được chuyển hướng đến các giao diện giả mạo, nơi họ được yêu cầu đặt cọc một khoản tiền không hoàn lại là 250 USD.

Việc sao chép tỉ mỉ mô hình đặt hàng trước của Tesla, bao gồm cả số tiền đặt cọc, nhằm mục đích tối đa hóa độ tin cậy và lừa dối người dùng. Điều này cho thấy một sự tính toán kỹ lưỡng trong việc xây dựng kịch bản tấn công mạng này.

Sự Khác Biệt Cốt Lõi so với Phishing Truyền thống

Không giống như nhiều chiến dịch phishing thông thường tập trung vào việc thu thập thông tin đăng nhập hoặc dữ liệu nhạy cảm thông qua các trang xác thực, chiến dịch này có một phương pháp tiếp cận khác biệt. Các trang web lừa đảo hoàn toàn bỏ qua các trang xác thực tài khoản.

Chiến lược này có thể nhằm tránh các cơ chế phát hiện tự động thường nhắm vào các trang đăng nhập giả mạo. Đồng thời, việc không yêu cầu xác thực cũng ngăn chặn người dùng cố gắng xác minh các đơn đặt hàng không tồn tại, từ đó kéo dài thời gian nạn nhân nhận ra mình đã bị lừa cho đến khi quá muộn.

Phương pháp này cho phép kẻ tấn công duy trì hoạt động lâu hơn và tối đa hóa số lượng nạn nhân trước khi bị phát hiện hoàn toàn. Đây là một điểm đáng chú ý trong cách thức hoạt động của tấn công mạng này.

Phân tích Hạ tầng Kỹ thuật và Kỹ thuật Che giấu Mối Đe Dọa

Cơ sở hạ tầng kỹ thuật đằng sau chiến dịch cho thấy một kế hoạch lừa đảo và rò rỉ dữ liệu được tính toán kỹ lưỡng. Một số tên miền độc hại, điển hình là offers-tesla.com, vẫn đang hoạt động, trong khi các tên miền khác như exclusive-tesla.com và prelaunch-tesla.com đã bị gỡ bỏ, có thể do các yêu cầu gỡ bỏ từ đội ngũ giám sát của Tesla.

Mạng lưới các tên miền đáng ngờ bổ sung bao gồm private-tesla.com, corp-tesla.com (thú vị là tên miền này chuyển hướng đến tesla.com hợp pháp), www-tesla.com, hyper-tesla.com, và auth.cp-tesla.com. Sự đa dạng này cho thấy một nỗ lực nhằm tạo ra nhiều điểm cuối lừa đảo để tăng khả năng tiếp cận nạn nhân.

Các trang web giả mạo chính được phát hiện đã sao chép một phiên bản cũ của thiết kế web của Tesla. Dấu thời gian tệp từ tháng 3 và tháng 5 năm 2025 cho thấy thời điểm tài sản của trang web hợp pháp bị trích xuất và tái sử dụng, gợi ý rằng chiến dịch đã được chuẩn bị từ trước.

Một yếu tố quan trọng trong việc che giấu hoạt động của chúng là việc các nền tảng giả mạo này được lưu trữ đằng sau mạng phân phối nội dung (CDN) của Cloudflare. Điều này không chỉ giúp che giấu nguồn gốc thực sự của máy chủ mà còn gây khó khăn cho việc gỡ bỏ nhanh chóng. Tuy nhiên, các danh sách thư mục mở như /api và /js đã để lộ một số thành phần backend, cho thấy một hoạt động có thể đã được lắp ráp một cách vội vàng hoặc không hoàn chỉnh.

Quy trình Thu thập Dữ liệu và Kỹ thuật Gian lận Tài chính

Về mặt hoạt động, các trò gian lận không chỉ giới hạn ở robot Optimus mà còn mở rộng sang các đơn đặt hàng trước giả mạo cho nhiều sản phẩm khác của Tesla, từ đó mở rộng đáng kể bề mặt của tấn công mạng. Theo báo cáo chi tiết từ ISC SANS Diary (https://isc.sans.edu/diary/32186), khi người dùng nhập chi tiết thanh toán, bao gồm số thẻ tín dụng đầy đủ, dữ liệu này không được xử lý ngay lập tức trên trang web.

Thay vào đó, thông tin nhạy cảm này được chuyển hướng đến các điểm cuối phụ như https://caribview.info/tesla/. Kiến trúc mô-đun này cho phép kẻ tấn công thu thập dữ liệu thẻ tín dụng thô mà không cần một quy trình xử lý thanh toán trực tiếp, giúp tránh các cơ chế phát hiện gian lận tự động của cổng thanh toán.

Việc kiểm tra đã chỉ ra rằng ngay cả khi nhập số thẻ không hợp lệ, hệ thống vẫn chấp nhận mà không cố gắng tính phí thực tế. Điều này ngụ ý rằng các trang web này chủ đích bỏ qua xác thực theo thời gian thực để ưu tiên việc thu thập thông tin chủ thẻ thô. Dữ liệu này sau đó có thể được khai thác theo nhiều cách, bao gồm bán lại trên các diễn đàn trao đổi thẻ tín dụng ngầm hoặc sử dụng trực tiếp để thực hiện các giao dịch mua hàng gian lận ở những nơi khác.

Sự thiếu vắng xác nhận email cho các giao dịch, như đã quan sát trong các thử nghiệm có kiểm soát, càng khẳng định rằng chiến dịch ưu tiên sự bí mật hơn là việc minh bạch. Việc thiếu thông báo qua email, có thể do bộ lọc thư rác hoặc lỗi cố ý, ngăn chặn các cảnh báo sớm có thể thúc đẩy nạn nhân kiểm tra và nghi ngờ, qua đó kéo dài vòng đời hoạt động của mối đe dọa mạng này.

Bản chất Mối đe dọa và Tác động Rộng lớn của Tấn công Mạng

Biến thể này của tấn công mạng khác biệt đáng kể so với các hình thức phổ biến như tải xuống drive-by hoặc mã độc ransomware truyền thống. Thay vì lây nhiễm hệ thống trực tiếp, nó tập trung hoàn toàn vào gian lận tài chính thông qua kỹ thuật xã hội. Kẻ tấn công đã khéo léo lợi dụng niềm tin của người tiêu dùng vào các thông báo và quy trình đặt hàng của Tesla.

Bằng cách bắt chước tiền lệ đặt cọc hoàn lại của Tesla (ngoại trừ một trò đùa Cá tháng Tư trước đây), chúng khai thác sự hào hứng và niềm tin của người dùng vào công nghệ robot AI mới nổi. Sự cường điệu xung quanh các ứng dụng tiềm năng của Optimus, như xếp máy rửa chén hoặc cắt cỏ, đã làm lu mờ các mốc thời gian phát hành thực tế và khiến người dùng dễ bị lừa hơn.

Cơ chế phát hiện chậm trễ là một yếu tố khuếch đại tác động tiềm năng của chiến dịch này. Nạn nhân có thể không nhận ra trò lừa đảo cho đến khi họ mong đợi việc giao hàng nhiều tháng hoặc thậm chí nhiều năm sau khi thực hiện giao dịch ban đầu. Việc Tesla chưa có bất kỳ đơn đặt hàng trước Optimus chính thức nào càng nhấn mạnh sự cấp bách cho người dùng trong việc xác minh thông tin và tên miền trực tiếp, bởi vì các quảng cáo được tài trợ vẫn đang làm ô nhiễm hệ sinh thái tìm kiếm và dẫn dụ nạn nhân vào bẫy tấn công mạng.

Chỉ số Nhận diện Tấn công (IOCs)

Dưới đây là danh sách các tên miền độc hại và điểm cuối thu thập dữ liệu được xác định là liên quan đến chiến dịch lừa đảo này:

• offers-tesla.com (tên miền đang hoạt động)
• exclusive-tesla.com (đã gỡ bỏ)
• prelaunch-tesla.com (đã gỡ bỏ)
• private-tesla.com
• corp-tesla.com (chuyển hướng đến tesla.com hợp pháp)
• www-tesla.com
• hyper-tesla.com
• auth.cp-tesla.com
• Điểm cuối thu thập dữ liệu: https://caribview.info/tesla/

Khuyến nghị Phòng chống và Nâng cao An ninh Mạng

Để giảm thiểu rủi ro từ vector tấn công mạng đang phát triển này, kết hợp lừa đảo với typosquatting để hút tiền từ những người đam mê công nghệ, các chuyên gia an ninh mạng khuyến nghị người dùng và tổ chức thực hiện các biện pháp sau:

• Bật trình chặn quảng cáo: Sử dụng các tiện ích mở rộng trình duyệt hoặc phần mềm chặn quảng cáo để ngăn chặn các quảng cáo độc hại xuất hiện trên các kết quả tìm kiếm và các trang web khác.
• Kiểm tra kỹ tính xác thực của URL: Luôn xác minh tên miền và URL của trang web trước khi nhập bất kỳ thông tin nhạy cảm nào. Chú ý đến các lỗi chính tả nhỏ hoặc các tên miền có vẻ tương tự nhưng không phải là chính thức.
• Báo cáo các trang web đáng ngờ: Thông báo ngay lập tức cho các cơ quan chức năng, nhà cung cấp dịch vụ internet (ISP), hoặc đội ngũ an ninh mạng của hãng bị giả mạo (ví dụ: Tesla) về các trang web lừa đảo.
• Xác minh thông tin từ nguồn chính thức: Luôn kiểm tra thông tin về sản phẩm mới, chương trình đặt hàng trước, hoặc bất kỳ thông báo quan trọng nào trực tiếp từ trang web chính thức của nhà sản xuất hoặc các kênh truyền thông đáng tin cậy đã được xác minh. Tránh click vào các liên kết trong quảng cáo hoặc email đáng ngờ.
• Cảnh giác với ưu đãi “quá tốt để là sự thật”: Các chương trình khuyến mãi hoặc cơ hội mua hàng đặc biệt bất thường thường là dấu hiệu của một vụ lừa đảo. Luôn duy trì sự hoài nghi lành mạnh.
• Đào tạo nhận thức về an ninh mạng: Thường xuyên cập nhật kiến thức về các chiêu trò lừa đảo mới nhất và kỹ thuật xã hội để nâng cao khả năng tự bảo vệ.