Podvod so škodlivou reklamou v službe Google Ads
Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú kampaň so škodlivými reklamami zameranú na jednotlivcov a firmy, ktoré inzerujú prostredníctvom služby Google Ads. Táto schéma zahŕňa klamlivé reklamy, ktoré sa vydávajú za samotnú službu Google Ads a lákajú obete do pascí phishingu, ktorých cieľom je ukradnúť ich poverenia.
Obsah
Cieľom je prevzatie účtu
Hlavným cieľom útočníkov je ukradnúť čo najviac účtov Google Ads. Presmerovaním obetí na falošné prihlasovacie stránky kradnú prihlasovacie údaje, ktoré by sa dali opätovne použiť na rozšírenie ich kampaní. Okrem toho sa tieto spreneverené účty pravdepodobne predávajú na podzemných fórach. Správy na fórach podpory Reddit, Bluesky a Google naznačujú, že táto aktivita prebieha minimálne od polovice novembra 2024.
Podobnosti s taktikou firemného účtu na Facebooku
Taktiky použité v tejto kampani sa veľmi podobajú tým, ktoré boli použité pri minulých útokoch zameraných na obchodné a reklamné účty na Facebooku. V týchto prípadoch kyberzločinci nasadili zlodejský malvér, aby získali neoprávnený prístup a použili unesené účty na falošné reklamné kampane, ktoré ďalej šírili malvér.
Taktika zneužívania a presmerovania vyhľadávačov
Aktéri hrozieb navrhli svoju kampaň tak, aby sa zobrazila, keď používatelia hľadajú „Google Ads“ vo vyhľadávači Google. Kliknutie na tieto podvodné reklamy vedie používateľov na phishingové stránky hostené na stránkach Google. Tieto stránky potom nasmerujú návštevníkov na externé phishingové stránky, ktoré získajú prihlasovacie údaje a kódy dvojfaktorovej autentifikácie (2FA). Zhromaždené údaje sa potom prenesú cez WebSocket na externý server spravovaný útočníkmi.
Využitie pravidiel pre adresy URL služby Google Ads
Jednou z kľúčových stratégií umožňujúcich tento útok sú pravidlá služby Google Ads, ktoré umožňujú, aby sa cieľová webová adresa (cieľová stránka po kliknutí na reklamu) líšila od zobrazenej webovej adresy, pokiaľ sa domény zhodujú. Táto medzera umožňuje útočníkom hostiť sprostredkovateľské phishingové stránky na Weboch Google a zároveň zobrazovať adresy URL, ktoré sa zdajú byť legitímne odkazy na Google Ads.
Pokročilé únikové techniky
Aby sa vyhli detekcii, útočníci používajú niekoľko techník vrátane snímania odtlačkov prstov, detekcie anti-botov, maskovania, návnad inšpirovaných CAPTCHA a metód zahmlievania, ktoré zakrývajú skutočnú povahu ich phishingovej infraštruktúry. Tieto taktiky im pomáhajú obísť bezpečnostné opatrenia a vyhnúť sa tomu, aby ich automatizované systémy označili.
Ozbrojenie ohrozených účtov
Po napadnutí účtu sa útočníci prihlásia, pridajú nového správcu a zneužijú reklamný rozpočet obete na spustenie podvodnej služby Google Ads. To im umožňuje ďalej rozširovať svoje phishingové operácie, čím sa vytvára cyklus, v ktorom sa ukradnuté účty používajú na prilákanie ešte väčšieho počtu obetí.
Možné prepojenia na aktérov hrozieb z Brazílie
Dôkazy naznačujú, že za týmito kampaňami stojí viacero jednotlivcov alebo skupín. Je pozoruhodné, že mnohí z nich hovoria portugalsky a pravdepodobne pôsobia mimo Brazílie. Phishingová infraštruktúra využíva sprostredkovateľské domény s portugalskou doménou najvyššej úrovne .pt (TLD), čo túto hypotézu ďalej podporuje.
Reakcia spoločnosti Google na podvodné reklamy
Google uznal tieto škodlivé kampane a aktívne monitoruje svoju reklamnú sieť, aby zabránil zneužitiu. Spoločnosť presadzuje prísne opatrenia proti klamlivým inzerentom, ktorí sa pokúšajú zavádzať používateľov o ich podnikoch, produktoch alebo službách.
Miliardy reklám odstránených na boj proti hrozbám
Len v roku 2023 spoločnosť Google odstránila viac ako 3,4 miliardy reklám, obmedzila viac ako 5,7 miliardy reklám a pozastavila približne 5,6 milióna účtov inzerentov. Z toho 206,5 milióna reklám bolo explicitne zablokovaných z dôvodu porušenia pravidiel spoločnosti Google týkajúcich sa skresľovania. Tieto čísla poukazujú na pokračujúci boj proti podvodnej reklame a záväzok spoločnosti Google udržiavať integritu reklamy.
