Prevara Google Ads z zlonamernim oglaševanjem
Raziskovalci kibernetske varnosti so odkrili novo oglaševalsko kampanjo, ki cilja na posameznike in podjetja, ki oglašujejo prek Google Ads. Ta shema vključuje zavajajoče oglase, ki poosebljajo sam Google Ads in žrtve zvabijo v pasti lažnega predstavljanja, namenjene kraji njihovih poverilnic.
Kazalo
Prizadevanje za prevzem računa
Glavni cilj napadalcev je ugrabiti čim več računov Google Ads. S preusmeritvijo žrtev na lažne prijavne strani ukradejo poverilnice, ki bi jih lahko ponovno uporabili za razširitev svojih kampanj. Poleg tega se ti poneverjeni računi verjetno prodajajo na podzemnih forumih. Poročila na forumih Reddit, Bluesky in Googlovih podpornih forumih kažejo, da ta dejavnost poteka vsaj od sredine novembra 2024.
Podobnosti s taktiko poslovnega računa na Facebooku
Taktika, uporabljena v tej kampanji, je zelo podobna tistim, uporabljenim v preteklih napadih, namenjenih poslovnim in oglaševalskim računom Facebook. V teh primerih so kibernetski kriminalci uporabili zlonamerno programsko opremo, da bi pridobili nepooblaščen dostop in uporabili ugrabljene račune za lažne oglaševalske akcije, ki so še naprej širile zlonamerno programsko opremo.
Izkoriščanje iskalnika in taktika preusmerjanja
Akterji groženj so svojo kampanjo zasnovali tako, da se prikažejo, ko uporabniki iščejo »Google Ads« v Googlovem iskalniku. Klik na te goljufive oglase vodi uporabnike do spletnih mest z lažnim predstavljanjem, ki gostujejo na Google Sites. Ta spletna mesta nato usmerijo obiskovalce na zunanje strani z lažnim predstavljanjem, ki zajamejo poverilnice za prijavo in kode dvofaktorske avtentikacije (2FA). Zbrani podatki se nato preko WebSocketa prenesejo na zunanji strežnik, ki ga upravljajo napadalci.
Izkoriščanje pravilnikov o URL-jih Google Ads
Ena od ključnih strategij, ki omogoča ta napad, je politika Google Ads, ki dovoljuje, da se končni URL (ciljna stran po kliku oglasa) razlikuje od prikaznega URL-ja, če se domeni ujemata. Ta vrzel omogoča napadalcem, da gostijo vmesne strani z lažnim predstavljanjem na Googlovih spletnih mestih, medtem ko prikazujejo URL-je, ki se zdijo legitimne povezave Google Ads.
Napredne tehnike izogibanja
Da bi se izognili odkrivanju, napadalci uporabljajo več tehnik, vključno z odvzemom prstnih odtisov, zaznavanjem proti botom, prikrivanjem, vabami, ki jih navdihuje CAPTCHA, in metodami zamegljevanja, ki prikrijejo pravo naravo njihove lažne infrastrukture. Te taktike jim pomagajo zaobiti varnostne ukrepe in preprečiti, da bi jih avtomatizirani sistemi označili.
Orožje z ogroženimi računi
Ko je račun ogrožen, se napadalci prijavijo, dodajo novega skrbnika in izkoristijo oglasni proračun žrtve za izvajanje goljufivih Google Ads. To jim omogoča, da še razširijo svoje operacije lažnega predstavljanja in ustvarijo cikel, v katerem se ugrabljeni računi uporabljajo za privabljanje še več žrtev.
Možne povezave z akterji groženj s sedežem v Braziliji
Dokazi kažejo, da za temi kampanjami stoji več posameznikov ali skupin. Predvsem veliko jih je portugalsko govorečih in verjetno delujejo iz Brazilije. Infrastruktura lažnega predstavljanja uporablja posredniške domene s portugalsko vrhnjo domeno (TLD) .pt, kar dodatno podpira to hipotezo.
Googlov odziv na goljufive oglase
Google je priznal te zlonamerne kampanje in aktivno spremlja svoje oglaševalsko omrežje, da prepreči zlorabo. Podjetje uveljavlja stroge ukrepe proti zavajajočim oglaševalcem, ki poskušajo zavajati uporabnike glede svojih podjetij, izdelkov ali storitev.
Milijarde oglasov odstranjenih za boj proti grožnjam
Samo leta 2023 je Google odstranil več kot 3,4 milijarde oglasov, omejil več kot 5,7 milijarde oglasov in začasno ukinil približno 5,6 milijona računov oglaševalcev. Od tega je bilo 206,5 milijona oglasov izrecno blokiranih zaradi kršitve Googlove politike napačnega predstavljanja. Te številke poudarjajo nenehni boj proti goljufivemu oglaševanju in Googlovo zavezanost ohranjanju integritete oglasov.
