Lừa đảo quảng cáo độc hại của Google Ads

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại mới nhắm vào các cá nhân và doanh nghiệp quảng cáo qua Google Ads. Kế hoạch này bao gồm các quảng cáo lừa đảo mạo danh Google Ads, dụ nạn nhân vào bẫy lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của họ.

Mục tiêu chiếm đoạt tài khoản

Mục tiêu chính của những kẻ tấn công là chiếm đoạt càng nhiều tài khoản Google Ads càng tốt. Bằng cách chuyển hướng nạn nhân đến các trang đăng nhập giả mạo, chúng đánh cắp thông tin đăng nhập có thể được sử dụng lại để mở rộng chiến dịch của chúng. Ngoài ra, những tài khoản bị chiếm dụng này có khả năng được bán trên các diễn đàn ngầm. Các báo cáo trên Reddit, Bluesky và diễn đàn hỗ trợ của Google chỉ ra rằng hoạt động này đã diễn ra ít nhất là từ giữa tháng 11 năm 2024.

Điểm tương đồng với Chiến thuật tài khoản doanh nghiệp trên Facebook

Các chiến thuật được sử dụng trong chiến dịch này rất giống với các chiến thuật được sử dụng trong các cuộc tấn công trước đây nhắm vào các tài khoản kinh doanh và quảng cáo trên Facebook. Trong những trường hợp đó, tội phạm mạng triển khai phần mềm độc hại đánh cắp để truy cập trái phép và sử dụng các tài khoản bị chiếm đoạt cho các chiến dịch quảng cáo giả mạo để phát tán phần mềm độc hại.

Chiến thuật khai thác và chuyển hướng công cụ tìm kiếm

Những kẻ đe dọa đã thiết kế chiến dịch của chúng để xuất hiện khi người dùng tìm kiếm "Google Ads" trên công cụ tìm kiếm của Google. Nhấp vào những quảng cáo gian lận này sẽ dẫn người dùng đến các trang web lừa đảo được lưu trữ trên Google Sites. Sau đó, các trang web này sẽ hướng người truy cập đến các trang lừa đảo bên ngoài để lấy thông tin đăng nhập và mã Xác thực hai yếu tố (2FA). Dữ liệu thu thập được sau đó được truyền qua WebSocket đến một máy chủ bên ngoài do kẻ tấn công quản lý.

Tận dụng Chính sách URL của Google Ads

Một chiến lược chính cho phép cuộc tấn công này là chính sách của Google Ads cho phép URL cuối cùng (trang đích sau khi nhấp vào quảng cáo) khác với URL hiển thị miễn là các tên miền khớp nhau. Kẽ hở này cho phép kẻ tấn công lưu trữ các trang lừa đảo trung gian trên Google Sites trong khi hiển thị các URL có vẻ là liên kết Google Ads hợp lệ.

Kỹ thuật né tránh nâng cao

Để tránh bị phát hiện, những kẻ tấn công sử dụng một số kỹ thuật, bao gồm dấu vân tay, phát hiện chống bot, che giấu, mồi nhử lấy cảm hứng từ CAPTCHA và các phương pháp che giấu bản chất thực sự của cơ sở hạ tầng lừa đảo của chúng. Các chiến thuật này giúp chúng vượt qua các biện pháp bảo mật và tránh bị các hệ thống tự động đánh dấu.

Vũ khí hóa các tài khoản bị xâm phạm

Khi một tài khoản bị xâm phạm, kẻ tấn công sẽ đăng nhập, thêm một quản trị viên mới và khai thác ngân sách quảng cáo của nạn nhân để chạy Google Ads gian lận. Điều này cho phép chúng mở rộng hoạt động lừa đảo của mình hơn nữa, tạo ra một chu kỳ trong đó các tài khoản bị chiếm đoạt được sử dụng để dụ dỗ nhiều nạn nhân hơn nữa.

Các liên kết có thể có với các tác nhân đe dọa có trụ sở tại Brazil

Bằng chứng cho thấy có nhiều cá nhân hoặc nhóm đứng sau các chiến dịch này. Đáng chú ý, nhiều người trong số họ là người nói tiếng Bồ Đào Nha và có khả năng hoạt động ở Brazil. Cơ sở hạ tầng lừa đảo sử dụng các tên miền trung gian với tên miền cấp cao nhất (TLD) .pt của Bồ Đào Nha, càng củng cố thêm cho giả thuyết này.

Phản ứng của Google đối với quảng cáo gian lận

Google đã thừa nhận những chiến dịch độc hại này và đang tích cực giám sát mạng quảng cáo của mình để ngăn chặn việc lạm dụng. Công ty thực thi các biện pháp nghiêm ngặt đối với các nhà quảng cáo lừa đảo cố gắng đánh lừa người dùng về doanh nghiệp, sản phẩm hoặc dịch vụ của họ.

Hàng tỷ quảng cáo bị xóa bỏ để chống lại các mối đe dọa

Chỉ tính riêng năm 2023, Google đã xóa hơn 3,4 tỷ quảng cáo, hạn chế hơn 5,7 tỷ quảng cáo và đình chỉ khoảng 5,6 triệu tài khoản nhà quảng cáo. Trong số đó, 206,5 triệu quảng cáo đã bị chặn rõ ràng vì vi phạm Chính sách trình bày sai sự thật của Google. Những con số này nêu bật cuộc chiến đang diễn ra chống lại quảng cáo gian lận và cam kết của Google trong việc duy trì tính toàn vẹn của quảng cáo.