Đây là một câu chuyện cảnh báo của một người dùng nước ngoài mất gần 4.000 euro trong một vụ lừa đảo tinh vi trên Facebook. Có lẽ bạn sẽ thấy nó khá quen thuộc vì mình cũng từng nhìn thấy mẫu quảng cáo này trên Facebook.
Cho đến giờ tác giả vẫn cảm thấy khó tin là mình lại sa vào một trò lừa đảo như thế này. Tác giả đã bật xác minh hai bước (2FA) trên tất cả các tài khoản của mình, sử dụng trình quản lý mật khẩu và nói chung rất thận trọng với bảo mật tài khoản.
Hai ngày trước, tác giả phát hiện thấy một quảng cáo khi duyệt Facebook do Tiktok Ads Business quảng cáo. Tác giả không có chụp được ảnh màn hình quảng cáo này, nhưng đại loại mẫu quảng cáo hứa hẹn một khoản hỗ tor75 3000USD cho các doanh nghiệp mới đăng ký chương trình TikTok Ads.
Là một người hơn 15 năm trong lĩnh vực công nghệ quảng cáo, tôi đã quen với ý tưởng về việc các doanh nghiệp tặng tín dụng quảng cáo cho các nhà quảng cáo mới. 3000USD là một số tiền rất cao, nhưng nó không gây ra bất kỳ dấu hiệu lừa đảo nào.
Nhấp vào quảng cáo đã đưa nạn nhân đến ứng dụng TikTok Ads Business dành cho Android trên Cửa hàng Google Play. Ứng dụng có hơn 10k lượt tải xuống, hơn 1000 lượt đánh giá và xếp hạng trung bình là 4,6 – một lần nữa, điều này không làm tăng bất kỳ dấu hiệu lừa đảo nào.
Sau khi cài đặt ứng dụng, nó đã mở một bản sao của trang TikTok Back to Business Program. Sau khi nhập số điện thoại và email của tôi, ứng dụng yêu cầu tôi đăng nhập bằng Facebook để nhận các khoản tín dụng.
Sau khi đăng nhập bằng Facebook của tôi, một mã phiếu thưởng được hiển thị dưới số dư với giải thích rằng sẽ mất đến 48 giờ trước khi TikTok liên hệ với tôi:
Hai ngày trôi qua và tôi tò mò khi nào tôi sẽ nhận được email đã hứa đó. Sau đó, một email giao dịch từ PayPal đến:
Facebook tính phí 3.990,17EURO từ tài khoản PayPal doanh nghiệp được liên kết của nạn nhân. “Tôi rất ngạc nhiên – tôi không nhận ra chi tiêu quảng cáo nên tôi đã cố gắng đăng nhập vào tài khoản Quảng cáo Facebook của mình. Thật không may, tôi không tìm ra. Đối tượng lừa đảo đã sử dụng mã thông báo xác thực Facebook của tôi để xóa tôi khỏi phần Facebook Business. Thật kỳ lạ, điều này có thể thực hiện được mà không cần nhận bất kỳ email nào từ Facebook. Tôi không có cách nào để kiểm tra tài khoản Quảng cáo của mình trên Facebook để xem điều gì đang xảy ra”.
Liên hệ với Facebook về những trò gian lận / hack như vậy là một thách thức đối với riêng nó: có một trang hỗ trợ nhưng trong mọi nỗ lực của tôi, tôi không thể nhấp vào nút email.
Sau đó, nạn nhân đã tìm thấy tài khoản nhắn tin Hỗ trợ Doanh nghiệp của Facebook và họ đã nhanh chóng trả lời bằng cách xác nhận vấn đề:
Một ngày sau, tôi liên hệ với Facebook để cập nhật và họ đã xác nhận lại vấn đề. 24 giờ sau, tôi có toàn quyền truy cập trở lại tài khoản quảng cáo của mình. Đây là thiệt hại đã được thực hiện trước khi Facebook vô hiệu hóa tài khoản:
Tất cả số tiền này đã được chi cho một quảng cáo Việt Nam có hình ảnh bên dưới:
Tóm lại, nạn nhân đã tốn:
- Tổng chi tiêu: 8.235,82 € (trong đó bị tính phí 3,990,17 €)
- Tổng số lần hiển thị: 3.184.933
- Tổng tiếp cận: 2.674.194
- Tổng số chuyển đổi: 2.126 nhấp chuột “gửi tin nhắn” 😳
Tác giả vẫn đang chờ quyết định từ Facebook nếu họ sẽ hoàn lại phí. Trong khi chờ đợi, tác giả đã có một số động thái:
- Đã thay đổi mật khẩu Facebook và PayPal.
- Tất cả các thiết bị / mã thông báo đã đăng nhập bị vô hiệu.
- Đã báo cáo trang TikTok Ads Business giả mạo cho Facebook => hiện tại đã bị xoá.
- Đã báo cáo ứng dụng TikTok Ads Business giả mạo cho Google – ứng dụng này đã bị gỡ xuống.
- Đã bắt đầu quy trình PayPal refund. PayPal trả lời: “chúng tôi đã xác định không có việc sử dụng trái phép”.