กลลวงทางโฆษณา Google Ads
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญโฆษณาแฝงรูปแบบใหม่ที่กำหนดเป้าหมายบุคคลและธุรกิจที่ลงโฆษณาผ่าน Google Ads แผนการนี้เกี่ยวข้องกับโฆษณาหลอกลวงที่แอบอ้างว่าเป็น Google Ads เอง โดยล่อเหยื่อให้เข้าสู่กับดักฟิชชิ่งที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวของพวกเขา
สารบัญ
มุ่งสู่การยึดบัญชี
เป้าหมายหลักของผู้โจมตีคือการแฮ็กบัญชี Google Ads ให้ได้มากที่สุด โดยการเปลี่ยนเส้นทางเหยื่อไปยังหน้าเข้าสู่ระบบปลอม พวกเขาจะขโมยข้อมูลรับรองที่อาจนำไปใช้ซ้ำเพื่อขยายแคมเปญของตนได้ นอกจากนี้ บัญชีที่ถูกแอบอ้างเหล่านี้ยังมีแนวโน้มที่จะถูกขายในฟอรัมใต้ดิน รายงานบน Reddit, Bluesky และฟอรัมสนับสนุนของ Google ระบุว่ากิจกรรมนี้ดำเนินมาตั้งแต่กลางเดือนพฤศจิกายน 2024 เป็นอย่างน้อย
ความคล้ายคลึงกับกลยุทธ์บัญชีธุรกิจบน Facebook
กลวิธีที่ใช้ในแคมเปญนี้คล้ายคลึงกับกลวิธีที่ใช้ในการโจมตีบัญชีธุรกิจและโฆษณาของ Facebook ในอดีต ในกรณีดังกล่าว อาชญากรไซเบอร์ใช้มัลแวร์ขโมยข้อมูลเพื่อเข้าถึงบัญชีที่ไม่ได้รับอนุญาตและใช้บัญชีที่ถูกแฮ็กเพื่อทำแคมเปญโฆษณาปลอมเพื่อแพร่กระจายมัลแวร์ต่อไป
การใช้ประโยชน์จากเครื่องมือค้นหาและกลวิธีเปลี่ยนเส้นทาง
ผู้ก่อภัยคุกคามได้ออกแบบแคมเปญให้ปรากฏเมื่อผู้ใช้ค้นหา "Google Ads" บนเครื่องมือค้นหาของ Google การคลิกโฆษณาหลอกลวงเหล่านี้จะนำผู้ใช้ไปยังเว็บไซต์ฟิชชิ่งที่โฮสต์บน Google Sites จากนั้นเว็บไซต์เหล่านี้จะนำผู้เยี่ยมชมไปยังหน้าฟิชชิ่งภายนอกที่รวบรวมข้อมูลรับรองการเข้าสู่ระบบและรหัสการตรวจสอบสิทธิ์สองปัจจัย (2FA) จากนั้นข้อมูลที่รวบรวมได้จะถูกส่งผ่าน WebSocket ไปยังเซิร์ฟเวอร์ภายนอกที่ผู้โจมตีจัดการ
การใช้ประโยชน์จากนโยบาย URL ของ Google Ads
กลยุทธ์สำคัญอย่างหนึ่งที่ทำให้เกิดการโจมตีนี้คือ นโยบายของ Google Ads ที่อนุญาตให้ URL สุดท้าย (หน้าปลายทางหลังจากคลิกโฆษณา) แตกต่างจาก URL ที่แสดงได้ ตราบใดที่โดเมนตรงกัน ช่องโหว่นี้ทำให้ผู้โจมตีสามารถโฮสต์หน้าฟิชชิ่งกลางบน Google Sites ในขณะที่แสดง URL ที่ดูเหมือนเป็นลิงก์ Google Ads ที่ถูกต้อง
เทคนิคการหลบเลี่ยงขั้นสูง
เพื่อหลบเลี่ยงการตรวจจับ ผู้โจมตีใช้เทคนิคต่างๆ มากมาย เช่น การพิมพ์ลายนิ้วมือ การตรวจจับบ็อต การปกปิด การล่อลวงโดยใช้ CAPTCHA และวิธีการทำให้สับสนซึ่งปกปิดธรรมชาติที่แท้จริงของโครงสร้างพื้นฐานฟิชชิ่งของพวกเขา กลวิธีเหล่านี้ช่วยให้พวกเขาหลีกเลี่ยงมาตรการรักษาความปลอดภัยและหลีกเลี่ยงการถูกทำเครื่องหมายโดยระบบอัตโนมัติ
การใช้บัญชีที่ถูกบุกรุกเป็นอาวุธ
เมื่อบัญชีถูกบุกรุก ผู้โจมตีจะเข้าสู่ระบบ เพิ่มผู้ดูแลระบบใหม่ และใช้ประโยชน์จากงบประมาณโฆษณาของเหยื่อเพื่อเรียกใช้ Google Ads ปลอม ซึ่งจะทำให้พวกเขาสามารถขยายการดำเนินการฟิชชิ่งได้มากขึ้น ทำให้เกิดวัฏจักรที่บัญชีที่ถูกแฮ็กจะถูกใช้เพื่อล่อเหยื่อให้เข้ามามากขึ้น
ลิงค์ที่เป็นไปได้สำหรับผู้ก่อภัยคุกคามจากบราซิล
หลักฐานชี้ให้เห็นว่ามีบุคคลหรือกลุ่มบุคคลจำนวนมากอยู่เบื้องหลังแคมเปญเหล่านี้ โดยเฉพาะอย่างยิ่ง หลายคนเป็นผู้พูดภาษาโปรตุเกสและน่าจะปฏิบัติการอยู่ในบราซิล โครงสร้างพื้นฐานฟิชชิ่งใช้โดเมนตัวกลางที่มีโดเมนระดับบนสุด (TLD) .pt ของโปรตุเกส ซึ่งสนับสนุนสมมติฐานนี้เพิ่มเติม
การตอบสนองของ Google ต่อโฆษณาหลอกลวง
Google รับทราบถึงแคมเปญอันเลวร้ายเหล่านี้แล้ว และกำลังตรวจสอบเครือข่ายโฆษณาของตนอย่างแข็งขันเพื่อป้องกันการละเมิด บริษัทบังคับใช้มาตรการที่เข้มงวดต่อผู้โฆษณาที่หลอกลวงซึ่งพยายามทำให้ผู้ใช้เข้าใจผิดเกี่ยวกับธุรกิจ ผลิตภัณฑ์ หรือบริการของตน
โฆษณาหลายพันล้านรายการถูกลบออกเพื่อต่อสู้กับภัยคุกคาม
ในปี 2023 เพียงปีเดียว Google ได้ลบโฆษณาออกไปมากกว่า 3,400 ล้านรายการ จำกัดโฆษณามากกว่า 5,700 ล้านรายการ และระงับบัญชีผู้ลงโฆษณาประมาณ 5.6 ล้านบัญชี ในจำนวนนี้ โฆษณา 206.5 ล้านรายการถูกบล็อกอย่างชัดเจนเนื่องจากละเมิดนโยบายการบิดเบือนข้อมูลของ Google ตัวเลขเหล่านี้เน้นย้ำถึงการต่อสู้อย่างต่อเนื่องเพื่อต่อต้านโฆษณาหลอกลวงและความมุ่งมั่นของ Google ในการรักษาความสมบูรณ์ของโฆษณา
