Google Ads ļaunprātīgas izmantošanas krāpniecība
Kiberdrošības pētnieki ir atklājuši jaunu ļaunprātīgas reklāmas kampaņu, kuras mērķauditorija ir personas un uzņēmumi, kas reklamē, izmantojot Google Ads. Šī shēma ietver maldinošas reklāmas, kas uzdodas par pašu Google Ads, ievilinot upurus pikšķerēšanas slazdos, kas paredzēti viņu akreditācijas datu nozagšanai.
Satura rādītājs
Konta pārņemšanas mērķis
Uzbrucēju galvenais mērķis ir nolaupīt pēc iespējas vairāk Google Ads kontu. Pārvirzot upurus uz viltotām pieteikšanās lapām, viņi nozog akreditācijas datus, ko varētu atkārtoti izmantot savu kampaņu paplašināšanai. Turklāt šie piesavinātie konti, visticamāk, tiek pārdoti pazemes forumos. Pārskati par Reddit, Bluesky un Google atbalsta forumiem liecina, ka šī darbība turpinās vismaz kopš 2024. gada novembra vidus.
Līdzības ar Facebook biznesa konta taktiku
Šajā kampaņā izmantotā taktika ir ļoti līdzīga tai, kas tika izmantota iepriekšējos uzbrukumos, kas vērsti pret Facebook biznesa un reklāmas kontiem. Šādos gadījumos kibernoziedznieki izvietoja zagļu ļaunprātīgu programmatūru, lai iegūtu nesankcionētu piekļuvi un izmantotu nolaupītos kontus viltotām reklāmas kampaņām, kas tālāk izplata ļaunprātīgu programmatūru.
Meklētājprogrammu izmantošanas un novirzīšanas taktika
Apdraudējuma dalībnieki ir izstrādājuši savu kampaņu tā, lai tā tiktu rādīta, kad lietotāji Google meklētājprogrammā meklē “Google Ads”. Noklikšķinot uz šīm krāpnieciskajām reklāmām, lietotāji tiek novirzīti uz pikšķerēšanas vietnēm, kas tiek mitinātas Google vietnēs. Pēc tam šīs vietnes novirza apmeklētājus uz ārējām pikšķerēšanas lapām, kas tver pieteikšanās akreditācijas datus un divu faktoru autentifikācijas (2FA) kodus. Pēc tam apkopotie dati, izmantojot WebSocket, tiek pārsūtīti uz ārēju serveri, ko pārvalda uzbrucēji.
Google Ads URL politiku izmantošana
Viena no galvenajām stratēģijām, kas ļauj veikt šo uzbrukumu, ir Google Ads politika, kas ļauj gala URL (galamērķa lapai pēc noklikšķināšanas uz reklāmas) atšķirties no redzamā URL, ja vien domēni atbilst. Šī nepilnība ļauj uzbrucējiem mitināt starpnieku pikšķerēšanas lapas pakalpojumā Google vietnes, vienlaikus rādot URL, kas šķiet likumīgas Google Ads saites.
Uzlabotas izvairīšanās metodes
Lai izvairītos no atklāšanas, uzbrucēji izmanto vairākas metodes, tostarp pirkstu nospiedumu noņemšanu, robotu noteikšanu, maskēšanu, CAPTCHA iedvesmotus mānekļus un apmulsināšanas metodes, kas slēpj viņu pikšķerēšanas infrastruktūras patieso būtību. Šī taktika palīdz viņiem apiet drošības pasākumus un izvairīties no automātisku sistēmu atzīmēšanas.
Kompromitēto kontu apbruņošana
Kad konts ir uzlauzts, uzbrucēji piesakās, pievieno jaunu administratoru un izmanto upura reklāmu budžetu, lai palaistu krāpniecisku Google Ads. Tas viņiem ļauj vēl vairāk paplašināt pikšķerēšanas operācijas, radot ciklu, kurā nolaupītie konti tiek izmantoti, lai pievilinātu vēl vairāk upuru.
Iespējamās saites uz Brazīlijā dzīvojošiem draudu aktieriem
Pierādījumi liecina, ka aiz šīm kampaņām ir vairākas personas vai grupas. Jāatzīmē, ka daudzi no viņiem runā portugāļu valodā un, iespējams, darbojas ārpus Brazīlijas. Pikšķerēšanas infrastruktūra izmanto starpniecības domēnus ar Portugāles .pt augstākā līmeņa domēnu (TLD), kas vēl vairāk apstiprina šo hipotēzi.
Google reakcija uz krāpnieciskām reklāmām
Google ir atzinis šīs ļaunprātīgās kampaņas un aktīvi uzrauga savu reklāmu tīklu, lai novērstu ļaunprātīgu izmantošanu. Uzņēmums ievieš stingrus pasākumus pret maldinošiem reklāmdevējiem, kuri mēģina maldināt lietotājus par saviem uzņēmumiem, produktiem vai pakalpojumiem.
Miljardiem reklāmu noņemtas, lai cīnītos pret draudiem
2023. gadā vien Google noņēma vairāk nekā 3,4 miljardus reklāmu, ierobežoja vairāk nekā 5,7 miljardus reklāmu un apturēja aptuveni 5,6 miljonus reklāmdevēju kontu. No tiem 206,5 miljoni reklāmu tika nepārprotami bloķētas Google maldināšanas politikas pārkāpuma dēļ. Šie skaitļi izceļ notiekošo cīņu pret krāpnieciskām reklāmām un Google apņemšanos saglabāt reklāmu integritāti.
