کلاهبرداری بد تبلیغاتی در تبلیغات گوگل

محققان امنیت سایبری یک کمپین بد تبلیغاتی جدید را کشف کرده اند که افراد و مشاغلی را که از طریق Google Ads تبلیغ می کنند، هدف قرار می دهد. این طرح شامل تبلیغات فریبنده ای است که جعل هویت گوگل ادز است و قربانیان را به دام های فیشینگ می کشاند که برای سرقت اعتبار آنها طراحی شده است.

با هدف تصاحب حساب

هدف اصلی مهاجمان ربودن هر چه بیشتر حساب های تبلیغاتی گوگل است. با هدایت مجدد قربانیان به صفحات لاگین جعلی، آنها اعتبارنامه هایی را می دزدند که می توانند برای گسترش کمپین های خود مجددا استفاده شوند. علاوه بر این، این حساب‌های اختلاس شده احتمالاً در انجمن‌های زیرزمینی فروخته می‌شوند. گزارش‌های مربوط به انجمن‌های پشتیبانی Reddit، Bluesky و Google نشان می‌دهد که این فعالیت حداقل از اواسط نوامبر 2024 ادامه داشته است.

شباهت به تاکتیک های حساب تجاری فیس بوک

تاکتیک‌های مورد استفاده در این کمپین بسیار شبیه تاکتیک‌هایی است که در حملات گذشته که اکانت‌های تجاری و تبلیغاتی فیس‌بوک را هدف قرار می‌دادند، استفاده شده بود. در آن موارد، مجرمان سایبری بدافزار دزد را برای دسترسی غیرمجاز و استفاده از حساب‌های ربوده‌شده برای کمپین‌های تبلیغاتی جعلی که بدافزار را بیشتر منتشر می‌کنند، استفاده می‌کنند.

تاکتیک های بهره برداری و تغییر مسیر موتورهای جستجو

بازیگران تهدید، کمپین خود را طوری طراحی کرده‌اند که وقتی کاربران «Google Ads» را در موتور جستجوی Google جستجو می‌کنند ظاهر شود. با کلیک بر روی این تبلیغات جعلی، کاربران به سایت‌های فیشینگ میزبانی شده در Google Sites هدایت می‌شوند. این سایت‌ها سپس بازدیدکنندگان را به صفحات فیشینگ خارجی هدایت می‌کنند که اعتبار ورود و کدهای احراز هویت دو مرحله‌ای (2FA) را ضبط می‌کنند. سپس داده های جمع آوری شده از طریق WebSocket به سرور خارجی که توسط مهاجمان مدیریت می شود، منتقل می شود.

استفاده از سیاست های URL تبلیغات گوگل

یکی از استراتژی‌های کلیدی که این حمله را فعال می‌کند، خط‌مشی Google Ads است که اجازه می‌دهد URL نهایی (صفحه مقصد پس از کلیک بر روی تبلیغ) تا زمانی که دامنه‌ها مطابقت دارند با URL نمایشی متفاوت باشد. این حفره مهاجمان را قادر می‌سازد تا صفحات فیشینگ واسطه‌ای را در سایت‌های Google میزبانی کنند، در حالی که نشانی‌های اینترنتی را نشان می‌دهند که به نظر لینک‌های قانونی Google Ads هستند.

تکنیک های پیشرفته فرار

برای فرار از شناسایی، مهاجمان از چندین تکنیک از جمله انگشت نگاری، تشخیص ضد ربات، پنهان کاری، فریب های الهام گرفته از CAPTCHA و روش های مبهم سازی استفاده می کنند که ماهیت واقعی زیرساخت فیشینگ خود را پنهان می کند. این تاکتیک ها به آنها کمک می کند تا اقدامات امنیتی را دور بزنند و از علامت گذاری توسط سیستم های خودکار جلوگیری کنند.

تسلیح سازی حساب های در معرض خطر

هنگامی که یک حساب در معرض خطر قرار می گیرد، مهاجمان وارد سیستم می شوند، یک سرپرست جدید اضافه می کنند و از بودجه تبلیغاتی قربانی برای اجرای تبلیغات جعلی گوگل سوء استفاده می کنند. این به آن‌ها اجازه می‌دهد تا عملیات فیشینگ خود را بیشتر گسترش دهند و چرخه‌ای ایجاد کنند که در آن از حساب‌های ربوده شده برای جذب قربانیان بیشتر استفاده می‌شود.

پیوندهای احتمالی به بازیگران تهدید مبتنی بر برزیل

شواهد نشان می دهد که افراد یا گروه های متعددی پشت این کمپین ها هستند. قابل ذکر است که بسیاری از آنها پرتغالی زبان هستند و احتمالاً در خارج از برزیل فعالیت می کنند. زیرساخت فیشینگ از دامنه‌های واسطه‌ای با دامنه سطح بالای pt پرتغال (TLD) استفاده می‌کند که بیشتر از این فرضیه حمایت می‌کند.

پاسخ گوگل به تبلیغات تقلبی

گوگل این کمپین های بدخواهانه را پذیرفته است و برای جلوگیری از سوء استفاده فعالانه شبکه تبلیغاتی خود را زیر نظر دارد. این شرکت اقدامات سختگیرانه ای را علیه تبلیغ کنندگان فریبنده ای که سعی در گمراه کردن کاربران در مورد مشاغل، محصولات یا خدمات خود دارند، اعمال می کند.

میلیاردها تبلیغات برای مبارزه با تهدیدات حذف شدند

تنها در سال 2023، گوگل بیش از 3.4 میلیارد آگهی را حذف کرد، بیش از 5.7 میلیارد تبلیغات را محدود کرد و تقریباً 5.6 میلیون حساب تبلیغ کننده را به حالت تعلیق درآورد. از این تعداد، 206.5 میلیون آگهی به صراحت به دلیل نقض خط مشی ارائه نادرست گوگل مسدود شد. این ارقام نشان دهنده نبرد مداوم علیه تبلیغات تقلبی و تعهد گوگل به حفظ یکپارچگی تبلیغات است.