احتيال إعلانات Google الضارة
كشف باحثو الأمن السيبراني عن حملة إعلانية خبيثة جديدة تستهدف الأفراد والشركات التي تعلن عبر إعلانات Google. تتضمن هذه الخطة إعلانات خادعة تنتحل شخصية إعلانات Google نفسها، مما يجذب الضحايا إلى فخاخ التصيد المصممة لسرقة بيانات اعتمادهم.
جدول المحتويات
استهداف الاستيلاء على الحساب
الهدف الأساسي للمهاجمين هو اختطاف أكبر عدد ممكن من حسابات إعلانات Google. من خلال إعادة توجيه الضحايا إلى صفحات تسجيل دخول مزيفة، يسرقون بيانات الاعتماد التي يمكن إعادة استخدامها لتوسيع حملاتهم. بالإضافة إلى ذلك، من المحتمل أن يتم بيع هذه الحسابات المسروقة على المنتديات السرية. تشير التقارير الواردة على Reddit وBluesky ومنتديات دعم Google إلى أن هذا النشاط مستمر منذ منتصف نوفمبر 2024 على الأقل.
أوجه التشابه مع تكتيكات حساب الأعمال على Facebook
تشبه التكتيكات المستخدمة في هذه الحملة إلى حد كبير تلك المستخدمة في الهجمات السابقة التي استهدفت حسابات الأعمال والإعلانات على Facebook. في تلك الحالات، نشر مجرمو الإنترنت برامج ضارة لسرقة البيانات للحصول على وصول غير مصرح به واستخدام الحسابات المخترقة لحملات إعلانية مزيفة تعمل على نشر البرامج الضارة بشكل أكبر.
استغلال محركات البحث وتكتيكات إعادة التوجيه
لقد صممت الجهات الفاعلة في مجال التهديد حملتها لتظهر عندما يبحث المستخدمون عن "إعلانات Google" على محرك بحث Google. يؤدي النقر فوق هذه الإعلانات الاحتيالية إلى توجيه المستخدمين إلى مواقع التصيد الاحتيالي المستضافة على مواقع Google. ثم تقوم هذه المواقع بتوجيه الزوار إلى صفحات تصيد احتيالي خارجية تلتقط بيانات اعتماد تسجيل الدخول وأكواد المصادقة الثنائية (2FA). ثم يتم نقل البيانات المجمعة عبر WebSocket إلى خادم خارجي يديره المهاجمون.
الاستفادة من سياسات عناوين URL الخاصة بإعلانات Google
تتمثل إحدى الاستراتيجيات الرئيسية التي تمكن هذا الهجوم في سياسة إعلانات Google التي تسمح بأن يكون عنوان URL النهائي (صفحة الوجهة بعد النقر فوق إعلان) مختلفًا عن عنوان URL المعروض طالما أن النطاقات متطابقة. تتيح هذه الثغرة للمهاجمين استضافة صفحات تصيد وسيطة على مواقع Google أثناء عرض عناوين URL التي تبدو وكأنها روابط إعلانات Google شرعية.
تقنيات التهرب المتقدمة
وللتهرب من الكشف، يستخدم المهاجمون عدة تقنيات، بما في ذلك بصمات الأصابع، والكشف عن برامج مكافحة الروبوتات، والتمويه، والإغراءات المستوحاة من CAPTCHA، وطرق التعتيم التي تخفي الطبيعة الحقيقية للبنية الأساسية الخاصة بالتصيد الاحتيالي. وتساعدهم هذه التكتيكات على تجاوز تدابير الأمان وتجنب اكتشافهم من قبل الأنظمة الآلية.
تسليح الحسابات المخترقة
بمجرد اختراق حساب، يقوم المهاجمون بتسجيل الدخول وإضافة مسؤول جديد واستغلال ميزانية الإعلانات الخاصة بالضحية لتشغيل إعلانات Google الاحتيالية. وهذا يسمح لهم بتوسيع عمليات التصيد الاحتيالي الخاصة بهم بشكل أكبر، مما يؤدي إلى إنشاء حلقة مفرغة حيث يتم استخدام الحسابات المخترقة لجذب المزيد من الضحايا.
روابط محتملة لجهات تهديدية مقرها البرازيل
تشير الأدلة إلى أن العديد من الأفراد أو المجموعات تقف وراء هذه الحملات. والجدير بالذكر أن العديد منهم يتحدثون البرتغالية ومن المرجح أنهم يعملون انطلاقًا من البرازيل. وتستخدم البنية الأساسية للتصيد الاحتيالي نطاقات وسيطة مع نطاق المستوى الأعلى .pt في البرتغال، مما يدعم هذه الفرضية بشكل أكبر.
رد جوجل على الإعلانات الاحتيالية
أقرت شركة جوجل بوجود هذه الحملات الخبيثة، وهي تراقب شبكتها الإعلانية بنشاط لمنع إساءة الاستخدام. وتفرض الشركة تدابير صارمة ضد المعلنين المخادعين الذين يحاولون تضليل المستخدمين بشأن أعمالهم أو منتجاتهم أو خدماتهم.
إزالة مليارات الإعلانات لمكافحة التهديدات
في عام 2023 وحده، أزالت Google أكثر من 3.4 مليار إعلان، وقيدت أكثر من 5.7 مليار إعلان، وعلقت ما يقرب من 5.6 مليون حساب معلن. ومن بين هذه الإعلانات، تم حظر 206.5 مليون إعلان صراحةً بسبب انتهاك سياسة التضليل الخاصة بـ Google. تسلط هذه الأرقام الضوء على المعركة المستمرة ضد الإعلانات الاحتيالية والتزام Google بالحفاظ على نزاهة الإعلانات.
