Google Adsi pahatahtlik pettus
Küberturvalisuse teadlased on avastanud uue pahatahtliku kampaania, mis on suunatud Google Adsi kaudu reklaamivatele üksikisikutele ja ettevõtetele. See skeem hõlmab petlikke reklaame, mis kehastavad Google Adsi ennast, meelitades ohvreid andmepüügilõksudesse, mille eesmärk on varastada nende mandaate.
Sisukord
Konto ülevõtmise eesmärk
Ründajate peamine eesmärk on kaaperdada võimalikult palju Google Adsi kontosid. Ohvreid võltsitud sisselogimislehtedele ümber suunates varastavad nad mandaate, mida saaks oma kampaaniate laiendamiseks uuesti kasutada. Lisaks müüakse neid omastatud kontosid tõenäoliselt põrandaalustel foorumitel. Redditi, Bluesky ja Google'i tugifoorumite aruanded näitavad, et see tegevus on kestnud vähemalt 2024. aasta novembri keskpaigast.
Sarnasused Facebooki ärikonto taktikaga
Selles kampaanias kasutatud taktikad sarnanevad Facebooki äri- ja reklaamikontodele suunatud varasemate rünnakute taktikaga. Nendel juhtudel kasutasid küberkurjategijad varastatavat pahavara, et saada volitamata juurdepääs ja kasutada kaaperdatud kontosid võltsreklaamikampaaniate jaoks, mis levitavad pahavara veelgi.
Otsingumootori ärakasutamise ja ümbersuunamise taktikad
Ohutegijad on kavandanud oma kampaania nii, et need ilmuksid siis, kui kasutajad otsivad Google'i otsingumootoris sõna "Google Ads". Nendel petturlikel reklaamidel klõpsamine suunab kasutajad Google Sitesis hostitud andmepüügisaitidele. Need saidid suunavad külastajad seejärel välistele andmepüügilehtedele, mis salvestavad sisselogimismandaadid ja kahefaktorilise autentimise (2FA) koodid. Seejärel edastatakse kogutud andmed WebSocketi kaudu ründajate hallatavasse välisserverisse.
Google Adsi URL-i eeskirjade kasutamine
Üks peamisi strateegiaid, mis seda rünnakut võimaldab, on Google Adsi eeskirjad, mis lubavad lõplikul URL-il (sihtlehel pärast reklaamil klikkimist) erineda kuvatavast URL-ist seni, kuni domeenid ühtivad. See lünk võimaldab ründajatel hostida teenuses Google Sites andmepüügi vahendavaid lehti, kuvades samal ajal URL-e, mis näivad olevat õigustatud Google Adsi lingid.
Täiustatud kõrvalehoidmise tehnikad
Tuvastamisest kõrvalehoidmiseks kasutavad ründajad mitmeid tehnikaid, sealhulgas sõrmejälgede võtmist, robotitevastast tuvastamist, varjamist, CAPTCHA-st inspireeritud peibutusmeetodeid ja hägustamismeetodeid, mis varjavad nende andmepüügi infrastruktuuri tõelist olemust. Need taktikad aitavad neil turvameetmetest mööda minna ja vältida automatiseeritud süsteemide märgistamist.
Ohustatud kontode relvastamine
Kui konto on ohus, logivad ründajad sisse, lisavad uue administraatori ja kasutavad ohvri reklaamieelarvet petturliku Google Adsi käivitamiseks. See võimaldab neil andmepüügitegevust veelgi laiendada, luues tsükli, kus kaaperdatud kontosid kasutatakse veelgi suurema hulga ohvrite meelitamiseks.
Võimalikud lingid Brasiilias asuvate ohunäitlejate juurde
Tõendid näitavad, et nende kampaaniate taga on mitu inimest või rühma. Nimelt räägivad paljud neist portugali keelt ja tegutsevad tõenäoliselt Brasiiliast. Andmepüügiinfrastruktuur kasutab vahedomeene Portugali .pt tippdomeeniga (TLD), mis toetab seda hüpoteesi veelgi.
Google'i reaktsioon petturlikele reklaamidele
Google on neid pahatahtlikke kampaaniaid tunnistanud ja jälgib kuritarvitamise vältimiseks aktiivselt oma reklaamivõrgustikku. Ettevõte rakendab rangeid meetmeid petlike reklaamijate vastu, kes üritavad kasutajaid oma ettevõtte, toodete või teenuste osas eksitada.
Ohtude vastu võitlemiseks eemaldati miljardeid reklaame
Ainuüksi 2023. aastal eemaldas Google üle 3,4 miljardi reklaami, piiras enam kui 5,7 miljardit reklaami ja peatas ligikaudu 5,6 miljonit reklaamija kontot. Neist 206,5 miljonit reklaami blokeeriti selgesõnaliselt Google'i valeandmete esitamise eeskirjade rikkumise tõttu. Need arvud näitavad käimasolevat võitlust petturliku reklaamimise vastu ja Google'i pühendumust reklaamide terviklikkuse säilitamisele.
