הונאת פרסום Malvertising ב-Google Ads
חוקרי אבטחת סייבר חשפו מסע פרסום חדש להרעלת פרסום הממוקד לאנשים ועסקים המפרסמים באמצעות Google Ads. תוכנית זו כוללת מודעות מטעות שמתחזות ל-Google Ads עצמה, ומפתות קורבנות למלכודות דיוג שנועדו לגנוב את האישורים שלהם.
תוכן העניינים
שואפים להשתלטות על חשבון
המטרה העיקרית של התוקפים היא לחטוף כמה שיותר חשבונות Google Ads. על ידי הפניית קורבנות לדפי התחברות מזויפים, הם גונבים אישורים שניתן לעשות בהם שימוש חוזר כדי להרחיב את מסעות הפרסום שלהם. בנוסף, סביר להניח שהחשבונות שהועברו לרעה נמכרים בפורומים מחתרתיים. דיווחים על Reddit, Bluesky ופורומי התמיכה של גוגל מצביעים על כך שפעילות זו נמשכת לפחות מאמצע נובמבר 2024.
קווי דמיון לטקטיקה של חשבון עסקי בפייסבוק
הטקטיקות בהן נעשה שימוש בקמפיין זה דומות מאוד לאלו שהופעלו בהתקפות קודמות המכוונות לחשבונות עסקיים ופרסום בפייסבוק. במקרים אלה, פושעי סייבר פרסו תוכנות זדוניות גניבות כדי לקבל גישה בלתי מורשית ולהשתמש בחשבונות החטופים עבור מסעות פרסום מזויפים שהפיצו עוד יותר את התוכנה הזדונית.
טקטיקות ניצול והפניה מחדש של מנוע חיפוש
שחקני האיומים עיצבו את מסע הפרסום שלהם כך שיופיע כאשר משתמשים מחפשים "גוגל אדס" במנוע החיפוש של גוגל. לחיצה על מודעות הונאה אלו מובילה משתמשים לאתרי דיוג המתארחים ב-Google Sites. אתרים אלה מפנים את המבקרים לדפי פישינג חיצוניים אשר לוכדים אישורי כניסה וקודים של אימות דו-גורמי (2FA). לאחר מכן, הנתונים שנאספו מועברים דרך WebSocket לשרת חיצוני המנוהל על ידי התוקפים.
מינוף מדיניות כתובות האתרים של Google Ads
אסטרטגיית מפתח אחת המאפשרת התקפה זו היא המדיניות של Google Ads שמאפשרת לכתובת האתר הסופית (דף היעד לאחר לחיצה על מודעה) להיות שונה מכתובת האתר לתצוגה כל עוד הדומיינים תואמים. פרצה זו מאפשרת לתוקפים לארח דפי דיוג מתווכים ב-Google Sites תוך הצגת כתובות אתרים שנראות כקישורי Google Ads לגיטימיים.
טכניקות התחמקות מתקדמות
כדי להתחמק מזיהוי, התוקפים משתמשים במספר טכניקות, כולל טביעת אצבע, זיהוי אנטי-בוטים, הסוואה, פתיונות בהשראת CAPTCHA ושיטות ערפול שמסתירות את הטבע האמיתי של תשתית הדיוג שלהם. טקטיקות אלו עוזרות להם לעקוף את אמצעי האבטחה ולהימנע מסימון על ידי מערכות אוטומטיות.
הפעלת נשק של חשבונות שנפגעו
ברגע שחשבון נפרץ, התוקפים נכנסים, מוסיפים מנהל מערכת חדש ומנצלים את תקציב המודעות של הקורבן כדי להפעיל Google Ads הונאה. זה מאפשר להם להרחיב עוד יותר את פעולות הדיוג שלהם, וליצור מחזור שבו משתמשים בחשבונות שנחטפו כדי למשוך עוד יותר קורבנות.
קישורים אפשריים לשחקני איום מברזיל
הראיות מצביעות על כך שמאחורי מסעות הפרסום הללו עומדים מספר יחידים או קבוצות. יש לציין שרבים מהם דוברי פורטוגזית וכנראה פועלים מברזיל. תשתית הדיוג משתמשת בדומיינים מתווכים עם דומיין .pt ברמה העליונה (TLD) של פורטוגל, מה שתומך עוד יותר בהשערה זו.
תגובת גוגל לפרסומות הונאה
גוגל הכירה בקמפיינים המרושעים הללו ועוקבת באופן פעיל אחר רשת המודעות שלה כדי למנוע שימוש לרעה. החברה אוכפת אמצעים נוקשים נגד מפרסמים מטעים המנסים להטעות משתמשים לגבי העסקים, המוצרים או השירותים שלהם.
מיליארדי פרסומות הוסרו כדי להילחם באיומים
בשנת 2023 לבדה, גוגל הסירה יותר מ-3.4 מיליארד מודעות, הגבילה יותר מ-5.7 מיליארד פרסומות והשעתה כ-5.6 מיליון חשבונות מפרסמים. מתוכם, 206.5 מיליון מודעות נחסמו במפורש בשל הפרת מדיניות המצג השווא של Google. נתונים אלה מדגישים את המאבק המתמשך נגד פרסום הונאה ואת המחויבות של גוגל לשמירה על שלמות המודעה.
