Google Ads zlonamjerna prijevara
Istraživači kibernetičke sigurnosti otkrili su novu kampanju zlonamjernog oglašavanja koja cilja pojedince i tvrtke koje se oglašavaju putem Google Adsa. Ova shema uključuje obmanjujuće oglase koji oponašaju sam Google Ads, mameći žrtve u zamke za krađu identiteta osmišljene za krađu njihovih vjerodajnica.
Sadržaj
Cilj za preuzimanje računa
Primarni cilj napadača je otimanje što više Google Ads računa. Preusmjeravanjem žrtava na lažne stranice za prijavu, one kradu vjerodajnice koje bi se mogle ponovno upotrijebiti za proširenje njihovih kampanja. Osim toga, ovi zloupotrijebljeni računi vjerojatno se prodaju na podzemnim forumima. Izvješća na Redditu, Blueskyju i Googleovim forumima za podršku pokazuju da je ova aktivnost u tijeku najmanje od sredine studenog 2024.
Sličnosti s taktikom poslovnog računa na Facebooku
Taktike korištene u ovoj kampanji vrlo su slične onima korištenim u prošlim napadima usmjerenim na poslovne i reklamne račune na Facebooku. U tim su slučajevima kibernetički kriminalci koristili kradljivi zlonamjerni softver kako bi dobili neovlašteni pristup i iskoristili otete račune za lažne reklamne kampanje koje dalje šire zlonamjerni softver.
Iskorištavanje tražilica i taktika preusmjeravanja
Akteri prijetnji osmislili su svoju kampanju tako da se pojavi kada korisnici pretražuju "Google Ads" na Googleovoj tražilici. Klikom na ove lažne oglase korisnici se vode do stranica za krađu identiteta koje se nalaze na Google web-lokacijama. Ta mjesta potom usmjeravaju posjetitelje na vanjske phishing stranice koje hvataju vjerodajnice za prijavu i kodove za provjeru autentičnosti u dva faktora (2FA). Prikupljeni podaci se zatim putem WebSocketa prenose na vanjski poslužitelj kojim upravljaju napadači.
Iskorištavanje Google Ads pravila URL-a
Jedna ključna strategija koja omogućuje ovaj napad je Google Adsova politika koja dopušta da se konačni URL (odredišna stranica nakon klika na oglas) razlikuje od URL-a za prikaz sve dok se domene podudaraju. Ova rupa u zakonu omogućuje napadačima da ugoste posredničke stranice za krađu identiteta na Google web-lokacijama dok prikazuju URL-ove koji izgledaju kao legitimne Google Ads veze.
Napredne tehnike izbjegavanja
Kako bi izbjegli otkrivanje, napadači koriste nekoliko tehnika, uključujući uzimanje otisaka prstiju, otkrivanje anti-botova, prikrivanje, mamce inspirirane CAPTCHA-om i metode maskiranja koje skrivaju pravu prirodu njihove phishing infrastrukture. Ove im taktike pomažu zaobići sigurnosne mjere i izbjeći da ih automatizirani sustavi označe.
Naoružavanje kompromitiranih računa
Nakon što je račun ugrožen, napadači se prijavljuju, dodaju novog administratora i iskorištavaju žrtvin proračun za oglašavanje kako bi pokrenuli lažni Google Ads. To im omogućuje da dodatno prošire svoje operacije krađe identiteta, stvarajući ciklus u kojem se oteti računi koriste za namamljivanje još više žrtava.
Moguće veze s akterima prijetnje sa sjedištem u Brazilu
Dokazi sugeriraju da više pojedinaca ili grupa stoji iza ovih kampanja. Naime, mnogi od njih govore portugalski i vjerojatno djeluju iz Brazila. Infrastruktura za krađu identiteta koristi posredničke domene s portugalskom .pt vršnom domenom (TLD), dodatno podupirući ovu hipotezu.
Googleov odgovor na lažne oglase
Google je priznao ove zlonamjerne kampanje i aktivno prati svoju oglasnu mrežu kako bi spriječio zlouporabu. Tvrtka provodi stroge mjere protiv lažnih oglašivača koji pokušavaju obmanuti korisnike o svojim poslovima, proizvodima ili uslugama.
Milijarde reklama uklonjene radi borbe protiv prijetnji
Samo u 2023. Google je uklonio više od 3,4 milijarde oglasa, ograničio više od 5,7 milijardi oglasa i suspendirao približno 5,6 milijuna računa oglašivača. Od toga je 206,5 milijuna oglasa izričito blokirano zbog kršenja Googleovih pravila o lažnom predstavljanju. Ove brojke naglašavaju tekuću bitku protiv lažnog oglašavanja i Googleovu predanost održavanju integriteta oglasa.
