„Google Ads“ piktnaudžiavimo afera
Kibernetinio saugumo tyrinėtojai atskleidė naują kenkėjiškos reklamos kampaniją, skirtą asmenims ir įmonėms, kurios reklamuojasi per „Google Ads“. Ši schema apima apgaulingus skelbimus, kurie apsimetinėja pačia „Google Ads“ ir privilioja aukas į sukčiavimo spąstus, skirtus pavogti jų kredencialus.
Turinys
Siekiama perimti paskyrą
Pagrindinis užpuolikų tikslas – užgrobti kuo daugiau „Google Ads“ paskyrų. Peradresuodamos aukas į netikrus prisijungimo puslapius, jos pavagia kredencialus, kuriuos būtų galima pakartotinai panaudoti savo kampanijoms išplėsti. Be to, šios pasisavintos sąskaitos greičiausiai parduodamos pogrindiniuose forumuose. „Reddit“, „Bluesky“ ir „Google“ palaikymo forumų ataskaitose nurodoma, kad ši veikla tęsiasi mažiausiai nuo 2024 m. lapkričio vidurio.
„Facebook“ verslo paskyros taktikos panašumai
Šioje kampanijoje naudojama taktika labai panaši į ankstesnių atakų, nukreiptų prieš „Facebook“ verslo ir reklamos paskyras, taktiką. Tokiais atvejais kibernetiniai nusikaltėliai panaudojo vagių kenkėjiškas programas, kad gautų neteisėtą prieigą ir panaudotų užgrobtas paskyras suklastotos reklamos kampanijoms, kurios toliau platina kenkėjiškas programas.
Paieškos variklio išnaudojimo ir peradresavimo taktika
Grėsmės veikėjai sukūrė savo kampaniją taip, kad jos būtų rodomos, kai vartotojai ieško „Google Ads“ „Google“ paieškos sistemoje. Spustelėję šiuos apgaulingus skelbimus naudotojai nukreipiami į sukčiavimo svetaines, priglobtas „Google“ svetainėse. Tada šios svetainės nukreipia lankytojus į išorinius sukčiavimo puslapius, kuriuose fiksuojami prisijungimo duomenys ir dviejų faktorių autentifikavimo (2FA) kodai. Tada surinkti duomenys per WebSocket perduodami išoriniam serveriui, kurį valdo užpuolikai.
„Google Ads“ URL politikos panaudojimas
Viena iš pagrindinių strategijų, įgalinančių šią ataką, yra „Google Ads“ politika, pagal kurią galutinis URL (paskirties puslapis spustelėjus skelbimą) gali skirtis nuo rodomo URL, jei domenai atitinka. Dėl šios spragos užpuolikai gali priglobti tarpinius sukčiavimo puslapius „Google“ svetainėse ir rodyti URL, kurie atrodo kaip teisėtos „Google Ads“ nuorodos.
Pažangūs vengimo būdai
Kad išvengtų aptikimo, užpuolikai taiko keletą metodų, įskaitant pirštų atspaudų ėmimą, antibotų aptikimą, maskavimą, CAPTCHA įkvėptus masalus ir užmaskavimo metodus, kurie slepia tikrąją sukčiavimo infrastruktūros prigimtį. Ši taktika padeda jiems apeiti saugos priemones ir išvengti automatizuotų sistemų žymėjimo.
Sugadintų paskyrų apginklavimas
Kai paskyra yra pažeista, užpuolikai prisijungia, prideda naują administratorių ir išnaudoja aukos skelbimų biudžetą, kad paleistų apgaulingą „Google Ads“. Tai leidžia jiems dar labiau išplėsti sukčiavimo operacijas ir sukurti ciklą, kai užgrobtos paskyros naudojamos siekiant privilioti dar daugiau aukų.
Galimos nuorodos į Brazilijoje įsikūrusius grėsmės veikėjus
Įrodymai rodo, kad už šias kampanijas yra keli asmenys ar grupės. Pažymėtina, kad daugelis jų kalba portugalų kalba ir greičiausiai veikia ne Brazilijoje. Sukčiavimo infrastruktūra naudoja tarpinius domenus su Portugalijos .pt aukščiausio lygio domenu (TLD), o tai dar labiau patvirtina šią hipotezę.
„Google“ atsakas į apgaulingus skelbimus
„Google“ pripažino šias piktavališkas kampanijas ir aktyviai stebi savo skelbimų tinklą, kad išvengtų piktnaudžiavimo. Bendrovė taiko griežtas priemones prieš apgaulingus reklamuotojus, kurie bando suklaidinti vartotojus apie savo verslą, produktus ar paslaugas.
Milijardai skelbimų pašalinti siekiant kovoti su grėsmėmis
Vien 2023 m. „Google“ pašalino daugiau nei 3,4 mlrd. skelbimų, apribojo daugiau nei 5,7 mlrd. skelbimų ir sustabdė maždaug 5,6 mln. reklamuotojų paskyrų. Iš jų 206,5 mln. skelbimų buvo aiškiai užblokuoti dėl „Google“ klaidingo pateikimo politikos pažeidimo. Šie skaičiai pabrėžia nuolatinę kovą su nesąžininga reklama ir „Google“ įsipareigojimą išlaikyti skelbimų vientisumą.
