เตือนฟิชชิงคริปโต! โฆษณาสปอนเซอร์กูเกิลปลอมยูนิสวอป(Uniswap) ดูดคริปโตสูญแล้วนับล้านดอลลาร์

โฆษณา ‘สปอนเซอร์’ ของกูเกิลถูกใช้เป็นช่องทาง ‘ฟิชชิงคริปโต’ มานานกว่าหนึ่งปี โดยแฮกเกอร์ปลอมลิงก์ ‘ยูนิสวอป(Uniswap)’ ผ่านโฆษณาเพื่อดึงผู้ใช้เข้าสู่เว็บปลอม และกวาดเงินคริปโตไปแล้วอย่างน้อยระดับหลายแสนดอลลาร์

เมื่อวันที่ 13 (เวลาท้องถิ่น) ทีมวิจัยด้านความปลอดภัยเผยว่า กลุ่มผู้โจมตีเจาะจงเล็งพื้นที่โฆษณาด้านบนสุดของผลการค้นหากูเกิล โดยวางลิงก์ปลอมที่เลียนแบบเว็บจริงของยูนิสวอปให้ขึ้นมาก่อนลิงก์ทางการ กลยุทธ์คือใช้บัญชีโฆษณาที่ซื้อมาใหม่หรือแฮกจากผู้ลงโฆษณารายเดิม แล้วตั้งราคา ‘ประมูลโฆษณา’ สูงกว่าเว็บจริง ทำให้ลิงก์ปลอมไปโผล่บนสุดอย่างแนบเนียน

โฆษณาอันตรายเหล่านี้ถูกออกแบบให้ ‘หน้าตา URL ดูปกติ’ ทำให้ตรวจจับได้ยาก เบื้องหน้าแสดงเป็นที่อยู่น่าเชื่อถือ แต่เบื้องหลังฝังองค์ประกอบที่เรียกโค้ดอันตรายแบบลับๆ เพื่อหลบระบบตรวจสอบอัตโนมัติของกูเกิล เมื่อผู้ใช้กดเข้าไปจะถูกพาไปยังเว็บที่ ‘หน้าตาเหมือนยูนิสวอปตัวจริงแทบทุกอย่าง’ จากนั้นกิจกรรมเครือข่ายทั้งหมดจะถูกส่งผ่านเซิร์ฟเวอร์ของผู้โจมตี ทำให้สามารถดักข้อมูลและสั่งธุรกรรมแทนผู้ใช้ได้

นักวิเคราะห์ออนเชนที่ใช้ชื่อว่า ‘b-block’ ระบุว่า เมื่อวันจันทร์ที่ผ่านมา เขาติดตามเส้นทางของเงินที่ถูกขโมย และพบกระเป๋าเงินที่เชื่อมโยงกับเว็บยูนิสวอปปลอมกลุ่มนี้ โดยตอนนี้ตรวจพบกระเป๋าอย่างน้อย 2 ใบที่ถือครองรวม 146 อีเธอเรียม(ETH) คิดเป็นมูลค่าราว 306,000 ดอลลาร์ ‘ความคิดเห็น’ เขาประเมินว่าหากนับทุกกระเป๋าและทุกเคสที่ยังไม่ถูกเปิดเผย มูลค่าความเสียหายน่าจะไม่น้อยกว่า 400,000 ดอลลาร์

องค์กรไม่แสวงหากำไรด้านความปลอดภัย SEAL ชี้ว่า วิธีโจมตีผ่านโฆษณากูเกิลลักษณะนี้ ‘ไม่ใช่ครั้งเดียวแล้วจบ’ แต่เป็นพฤติกรรมที่เกิดซ้ำต่อเนื่องยาวนาน ข้อมูลของ SEAL ระบุว่า ช่วงวันที่ 13–30 มีนาคมเพียงรอบเดียว มีเงินคริปโตถูกดูดไป 1.27 ล้านดอลลาร์ และพวกเขาต้องบล็อกลิงก์โฆษณาอันตรายกว่า 356 รายการ SEAL มองว่าตัวเลขนี้สะท้อน ‘ระดับปกติ’ ของการโจมตีประจำสัปดาห์ที่ดำเนินมาเกินหนึ่งปีแล้ว

ฝั่งผู้ประกอบการในวงการเว็บ3 ก็ออกมาเตือนเช่นกัน สเตซีย์ มัวร์ ผู้ก่อตั้งเอเจนซีมาร์เก็ตติ้งเว็บ3 ชื่อ ‘กรีนดอตส์’ ได้เผยภาพหน้าจอของโฆษณาสปอนเซอร์ปลอมที่ล่อผู้ใช้ไปยังเว็บยูนิสวอปปลอม พร้อมตำหนิกูเกิลว่าปล่อยให้ปัญหานี้ยืดเยื้อมาหลายปี ขณะที่แพลตฟอร์มเก็บข้อมูล DeFi อย่างดีไฟลามา ก็เตือนว่ากูเกิลแอดปลอมได้กลายเป็น ‘หนึ่งในช่องทางฟิชชิงที่พบได้บ่อยที่สุด’ สำหรับผู้ใช้คริปโตในตอนนี้

ปรากฏการณ์นี้ไม่ได้จำกัดอยู่ที่กูเกิลเพียงรายเดียว ในช่วงหลังยังพบแคมเปญที่นำ ‘ลิงก์แชร์เครื่องมือ AI’ มาผูกกับโฆษณากูเกิล เพื่อกระจายมัลแวร์สำหรับผู้ใช้แมค ขณะเดียวกัน บนเฟซบุ๊กก็มีเคสโฆษณาปลอมที่สวมรอยเป็นไมโครซอฟท์(MSFT) พาผู้ใช้ไปยังหน้าโหลดวินโดวส์ 11 ปลอม ซึ่งฝังมัลแวร์ขโมยข้อมูลเอาไว้เช่นกัน

วงการรักษาความปลอดภัยไซเบอร์มองตรงกันว่าฟิชชิงผ่าน ‘เสิร์ชเอนจินและเครือข่ายโฆษณา’ มีแนวโน้มจะยังคงต่อเนื่องไปอีกนาน โดยเฉพาะแบรนด์ที่ผู้ใช้คริปโตค้นหาบ่อยอย่างยูนิสวอปหรือโปรโตคอล DeFi รายใหญ่จะยิ่งกลายเป็นเป้าหมายหลัก ‘ความคิดเห็น’ ผู้เชี่ยวชาญแนะนำว่าต่อให้ลิงก์จะโผล่บนสุดในหน้าแรกและมีแท็กโฆษณาทางการ ก็ไม่ควรคลิกโดยไม่ตรวจสอบ ควรพิมพ์โดเมนด้วยตัวเองหรือบุ๊กมาร์กเว็บที่ถูกต้องเอาไว้ และเช็ก URL ทุกครั้งก่อนเชื่อมต่อวอลเล็ต เพื่อหลีกเลี่ยงการตกเป็นเหยื่อฟิชชิงผ่านโฆษณาอีกระลอก