Những kẻ lừa đảo đang sử dụng dịch vụ quảng cáo của Google Ads để giả mạo Tesla trong một chiến dịch tấn công lừa đảo Tesla tinh vi. Mục tiêu là thu hút các đơn đặt hàng trước không hợp lệ cho robot hình người Optimus chưa phát hành của công ty và các mặt hàng khác.

Các quảng cáo được tài trợ này xuất hiện nổi bật trong kết quả tìm kiếm cho các cụm từ như “Optimus Tesla preorder”. Chúng điều hướng người dùng đến các trang web giả mạo, bắt chước tên miền chính thức của Tesla.

Không giống như các cuộc tấn công phishing truyền thống nhằm đánh cắp thông tin đăng nhập, chiến dịch này tập trung vào việc thu thập các khoản đặt cọc không hoàn lại. Ngoài ra, chúng có khả năng thu thập chi tiết thẻ thanh toán để bán lại hoặc sử dụng gian lận, lợi dụng sự cường điệu xung quanh những tiến bộ robot dựa trên AI của Tesla.

Phân tích Chiến dịch Tấn công Lừa đảo Tesla

Kẻ tấn công đã khai thác lịch sử Tesla chấp nhận đơn đặt hàng trước với các khoản đặt cọc có thể hoàn lại cho các sản phẩm như Cybertruck. Điều này tạo ra một vỏ bọc hợp pháp cho chiến dịch phishing Google Ads của chúng. Tuy nhiên, Tesla chưa chính thức công bố các đơn đặt hàng trước cho Optimus, mặc dù đã có các bản demo về khả năng của robot trong các tác vụ như rửa bát, gấp quần áo và cắt cỏ.

Các trang web gian lận yêu cầu khoản đặt cọc 250 USD không hoàn lại. Mức giá này phù hợp chặt chẽ với các chiến lược định giá trước đây của Tesla, nhằm tăng cường độ tin cậy. Các cuộc điều tra tiết lộ rằng các nền tảng này không xử lý các khoản phí thực tế ngay lập tức. Thay vào đó, chúng thu thập thông tin thẻ tín dụng, có thể bị khai thác sau này trên các thị trường ngầm hoặc diễn đàn “carder” trực tuyến dành cho dữ liệu thanh toán bị đánh cắp.

Chi tiết Kỹ thuật về Các Trang Web Giả Mạo

• Các trang web giả mạo được điều tra bao gồm offers-tesla.com (đang hoạt động), exclusive-tesla.com, và prelaunch-tesla.com (đã bị gỡ bỏ).
• Chúng triển khai các bản sao gần như giống hệt một giao diện Tesla.com đã lỗi thời, dựa trên các dấu thời gian tệp trong các thư mục bị lộ như `/api` và `/js` từ khoảng tháng 3 đến tháng 5 của một năm gần đây.
• Các trang này thiếu các trang đăng nhập chức năng, một sự bỏ sót có chủ ý nhằm ngăn người dùng theo dõi trạng thái đơn hàng và trì hoãn việc phát hiện lừa đảo.
• Khi thử nghiệm giao dịch, hệ thống chấp nhận các chi tiết thẻ không hợp lệ mà không có xác thực ngay lập tức. Nó chuyển hướng đến một tên miền phụ xác thực giả mạo như auth.cp-tesla.com, một sai lệch tinh vi so với điểm cuối hợp pháp auth.tesla.com của Tesla.
• Không có email xác nhận nào được gửi đi, cho thấy lỗi tự động hoặc bộ lọc spam là một phần của chiêu trò nhằm tránh bị giám sát.

Cơ chế Hoạt động và Thu thập Dữ liệu

Các tên miền đáng ngờ bổ sung như private-tesla.com, corp-tesla.com (chuyển hướng đến trang Tesla thật), www-tesla.com, và hyper-tesla.com cho thấy các trạng thái truy cập khác nhau. Điều này cho thấy một cơ sở hạ tầng luân phiên để tránh bị gỡ bỏ. Được lưu trữ đằng sau mạng phân phối nội dung của Cloudflare, các trang này che giấu nguồn gốc và tăng cường khả năng phục hồi chống lại sự phát hiện.

Các tuyến đường gửi dữ liệu dẫn đến các điểm cuối khác nhau, bao gồm:

https://caribview.info/tesla/

Điều này gợi ý một thiết lập command-and-control (C2) phân tán, phân mảnh các dấu vết bằng chứng. Kiến trúc mô-đun này không chỉ tạo điều kiện triển khai nhanh chóng các trang web giả mạo mới mà còn làm phức tạp việc xác định nguồn gốc. Các tác nhân đe dọa có thể nhanh chóng chuyển đổi tên miền khi bị phát hiện. Sự thiếu vắng xử lý tài chính ngay lập tức làm dấy lên nghi ngờ về việc thu thập dữ liệu cho gian lận thanh toán không cần thẻ (Card-Not-Present – CNP), nơi các chi tiết bị đánh cắp được sử dụng cho các giao dịch mua hàng trực tuyến ở nơi khác.

Chiến dịch tấn công lừa đảo Tesla này nhấn mạnh những rủi ro bảo mật rộng hơn trong việc cường điệu hóa sản phẩm AI, nơi sự nhiệt tình đối với những đổi mới như Optimus làm người dùng mất cảnh giác trước các chiến thuật kỹ thuật xã hội. Phân tích chi tiết từ ISC SANS đã cung cấp nhiều thông tin quan trọng về chiến dịch này.

Chỉ số Nhận diện Sự Thỏa hiệp (IOCs)

Để hỗ trợ phát hiện và phòng ngừa, dưới đây là danh sách các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch tấn công lừa đảo Tesla này:

• Tên miền lừa đảo:
  • offers-tesla.com
  • exclusive-tesla.com
  • prelaunch-tesla.com
  • private-tesla.com
  • corp-tesla.com
  • www-tesla.com
  • hyper-tesla.com
• Tên miền phụ xác thực giả mạo:
  • auth.cp-tesla.com
• Điểm cuối thu thập dữ liệu đáng ngờ:
  • https://caribview.info/tesla/

Các Rủi ro Bảo mật và Khuyến nghị Phòng tránh

Mặc dù Tesla có thể giám sát và đưa ra các yêu cầu gỡ bỏ (bằng chứng là tuổi thọ ngắn của các trang web này, thường chỉ vài ngày), chiến dịch vẫn tồn tại thông qua hệ sinh thái được tài trợ của Google Ads. Điều này nhấn mạnh các lỗ hổng trong quy trình xác minh quảng cáo. Nạn nhân có thể không biết cho đến khi ngày giao hàng dự kiến qua đi, có thể là nhiều tháng hoặc nhiều năm sau, làm tăng thêm tính lén lút của vụ lừa đảo.

Các chuyên gia an ninh mạng khuyến nghị xác minh URL trực tiếp trên tesla.com, tránh các quảng cáo không được yêu cầu và báo cáo các quảng cáo đáng ngờ cho Google và các cơ quan chức năng để giảm thiểu những mối đe dọa như vậy. Khi Tesla tiếp tục phát triển robot của mình mà không có lịch trình phát hành cụ thể, người tiêu dùng nên thận trọng, ưu tiên các kênh chính thức để tránh trở thành nạn nhân của các kế hoạch khai thác tài chính đang phát triển này.