Sau khi chiếm được tài khoản cá nhân của một nhân viên LiveRamp, công ty đối tác dữ liệu quan trọng của Facebook, tin tặc đã tùy ý chạy quảng cáo lừa đảo, đánh cắp hàng ngàn USD cùng một lượng lớn thẻ tín dụng của người dùng.

Cụ thể, tháng 10 năm ngoái, tin tặc đã tấn công tài khoản cá nhân của một nhân viên LiveRamp và dùng để truy cập vào tài khoản quản lý doanh nghiệp (Business Manager) của công ty, sau đó chạy quảng cáo bằng tiền của người khác.

Đây không phải lần đầu xảy ra tình trạng này. Trong quá khứ, tin tặc đã nhiều lần nhắm mục tiêu vào các doanh nghiệp đối tác quảng cáo của Facebook vì biết rằng công cụ của những công ty này có thể dùng để khai thác và lừa đảo người dùng hiệu quả.

Tháng 12 vừa qua, Facebook đã đệ đơn kiện một công ty quảng cáo Trung Quốc, cáo buộc doanh nghiệp này chạy chiến dịch hack nhằm vào các tài khoản quảng cáo trên mạng xã hội. Các luật sư của Facebook cho rằng trong trường hợp này tin tặc đã chiếm đoạt tài khoản quảng cáo của nhiều người thông qua phần mềm độc hại được cấy vào phần mở rộng của trình duyệt, sau đó đánh cắp ít nhất 4 triệu USD từ thẻ tín dụng của những tài khoản này để quảng cáo các sản phẩm lừa đảo như hàng giả, thực phẩm chức năng dành cho nam giới trong khoảng từ năm 2016 đến 2019.

Marcin Kleczynski, Giám đốc điều hành công ty an ninh mạng Malwarebytes, cho biết: “Thông thường, các tài khoản mới buộc phải trải qua giai đoạn giám sát hoặc kiểm tra kỹ lưỡng để tránh bị lạm dụng. Tuy nhiên những tài khoản được thiết lập tốt sẽ được tin tưởng và phê duyệt nhanh chóng hơn”.

Tin tặc tấn công tài khoản cá nhân đối tác của Facebook để lừa đảo người dùng

Quảng cáo là nguồn thu nhập chính của Facebook – đó là lý do mạng xã hội này hoạt động miễn phí cho hơn 2,2 tỷ người. Dự kiến Facebook sẽ thu về 84 tỷ USD doanh thu trong năm 2020 từ quảng cáo, công ty cũng đã đạt được hiệu quả cao trong việc phân phối quảng cáo nhắm mục tiêu đến từng đối tượng cụ thể.

Tất nhiên, tin tặc cũng biết rằng quảng cáo là cách hiệu quả nhất để nội dung được nhìn thấy trên Facebook. Sau khi có được tài khoản của nhân viên LiveRamp, những kẻ tấn công đã bắt đầu chiến dịch mới nhắm vào một trong những đối tác dữ liệu nổi bật nhất của Facebook.

Trong trường hợp của LiveRamp, tin tặc không cần tấn công vào nhiều tài khoản, mà chỉ cần xâm nhập một tài khoản có quyền truy cập vào các khách hàng quảng cáo của công ty. LiveRamp cho biết đã kiểm soát và ngăn chặn được mối nguy nhưng từ chối cung cấp số lượng khách hàng bị ảnh hưởng, những biện pháp bảo mật mà nhân viên của công ty được trang bị trước khi truy cập vào tài khoản quảng cáo của Facebook.

Facebook từ chối bình luận về vụ việc này. Tháng 11 năm ngoái, đại diện mạng xã hội đã xác nhận tài khoản cá nhân của quản trị viên quản lý doanh nghiệp đã bị hack nhưng không thừa nhận đó là LiveRamp.

LiveRamp là gì?

LiveRamp là đối tác dữ liệu chính của Facebook và là “gã khổng lồ” trong lĩnh vực tiếp thị, đi tiên phong về data onboarding (công nghệ liên kết hoạt động thực tế của bạn với tài khoản trực tuyến và cung cấp cho các nhà quảng cáo).

LiveRamp hợp tác với hơn 300 doanh nghiệp và nhà cung cấp dữ liệu, gồm Google, MasterCard, Uber, Snapchat… Vì vậy, hãng sẽ nắm thông tin khi bạn mua bất cứ món hàng nào, dù trực tuyến hay trực tiếp tại cửa hàng.

Facebook là một trong nhiều đối tác dữ liệu của LiveRamp, chuyên giúp các công ty quảng cáo nhắm mục tiêu trên mạng xã hội dựa trên dữ liệu thu thập được từ những hoạt động ngoại tuyến.

Năm 2016, LiveRamp cho biết họ đã tích hợp với API Chuyển đổi Ngoại tuyến (Offline Conversions API) của Facebook, công cụ cho phép nhà quảng cáo nhìn thấy kết nối giữa các chiến dịch tiếp thị và những món hàng người dùng đang muốn mua.

LiveRamp cũng là đối tác dữ liệu trên trang Facebook for Business. Vì vậy, nhiều nhà quảng cáo thường cấp cho LiveRamp quyền truy cập đặc biệt để được trợ giúp về dữ liệu ngoại tuyến và có cái nhìn bao quát về các chiến dịch quảng cáo.

LiveRamp không tự chạy quảng cáo, nhưng với quyền hạn của mình, với tư cách là đối tác được Facebook chấp thuận, công ty có khả năng chạy quảng cáo cho khách hàng. Lợi dụng điều này, tháng 10 năm ngoái, tin tặc đã đánh cắp tài khoản Facebook cá nhân của một nhân viên LiveRamp, đồng thời là quản trị viên cho tài khoản Business Manager của công ty.

Sử dụng quyền truy cập đó, tin tặc đã chạy một loạt quảng cáo trên tài khoản khách hàng của LiveRamp trên Facebook, sử dụng hàng ngàn USD của nạn nhân để lừa người dùng Facebook xem những quảng cáo hàng giả.

Một trong những quảng cáo được xem hơn 60.000 lần lại hướng người dùng truy cập đến một trang web được thiết kế để đánh cắp số thẻ tín dụng.

LiveRamp không tiết lộ có bao nhiêu khách hàng bị ảnh hưởng vì sự cố hoặc số tiền tin tặc đã tiêu của nạn nhân trong vụ tấn công. Hãng cũng từ chối bình luận về việc nhân viên đó có còn tiếp tục được làm việc cho công ty hay không. Tuy nhiên đại diện LiveRamp cho biết họ có các yêu cầu bảo mật cho nhân viên của mình.

Điều khoản an ninh lỏng lẻo của Facebook

Facebook cung cấp rất nhiều công cụ bảo mật giúp bảo vệ tài khoản khỏi tin tặc, ví dụ xác thực hai yếu tố và thông báo đăng nhập để người dùng biết khi có ai đó truy cập vào tài khoản của họ. Ngoài ra, công ty còn có trang Trung tâm bảo mật dành riêng cho tài khoản quản lý doanh nghiệp, đồng thời khuyến nghị các nhà quản lý doanh nghiệp thực hiện dọn dẹp bảo mật mỗi quý để đảm bảo nhân viên có lượng truy cập phù hợp.

Tuy nhiên Facebook chỉ đề xuất các biện pháp bảo mật này và không yêu cầu bắt buộc, ngay cả đối với những đối tác dữ liệu lớn như LiveRamp – tổ chức có đặc quyền cao trên mạng xã hội.

Marcin Kleczynski, Giám đốc điều hành của công ty an ninh mạng Malwarebytes, bày tỏ mối lo ngại về việc Facebook không buộc các nhà quản lý doanh nghiệp thiết lập tài khoản riêng biệt hoàn toàn với tài khoản cá nhân. Ông cho rằng sử dụng tài khoản quản lý có giá trị hàng triệu USD để đăng những bài viết cá nhân là điều hết sức điên rồ.

Kleczynski cũng đặt câu hỏi tại sao Facebook không đặt tiêu chuẩn cao hơn với các đối tác dữ liệu, khiến họ thờ ơ với việc bảo mật thông tin, giữ những thói quen xấu như sử dụng lại mật khẩu cũ hoặc không sử dụng các biện pháp bảo vệ đơn giản như xác thực hai yếu tố.

“Nếu ‘gã khổng lồ mạng xã hội’ không làm điều đó, tội phạm mạng vẫn còn động lực tấn công các tài khoản Facebook cá nhân thuộc về nhân viên các đối tác dữ liệu của mạng xã hội”, Kleczynski nói.

“Nếu tôi là tội phạm, tôi sẽ tiếp tục theo dõi hồ sơ Facebook, bởi vì những hồ sơ cá nhân này có khả năng và quyền truy cập vào các chiến dịch quảng cáo. Khi hack thành công, không chỉ có quyền truy cập vào tài khoản cá nhân mà bạn còn có quyền truy cập vào tài khoản doanh nghiệp. Đó có thể là một công ty khởi nghiệp nhỏ hoặc một tập đoàn trị giá hàng triệu đô la”, ông cho biết thêm.