Google Ads 恶意广告诈骗

网络安全研究人员发现了一项新的恶意广告活动，该活动针对通过 Google Ads 投放广告的个人和企业。该骗局涉及冒充 Google Ads 本身的欺骗性广告，诱使受害者陷入旨在窃取其凭据的网络钓鱼陷阱。

旨在接管账户

攻击者的主要目标是劫持尽可能多的 Google Ads 帐户。通过将受害者重定向到虚假登录页面，他们窃取可重复使用以扩大其广告活动的凭据。此外，这些被盗用的帐户很可能在地下论坛上出售。Reddit、Bluesky 和 Google 支持论坛上的报告表明，这项活动至少从 2024 年 11 月中旬就开始了。

与 Facebook 商业帐户策略的相似之处

此次攻击活动所采用的策略与过去针对 Facebook 商业和广告账户的攻击非常相似。在那些案例中，网络犯罪分子部署窃取恶意软件以获取未经授权的访问权限，并使用被劫持的账户进行虚假广告活动，从而进一步传播恶意软件。

搜索引擎利用和重定向策略

威胁者设计了他们的活动，当用户在谷歌搜索引擎上搜索“谷歌广告”时就会出现。点击这些欺诈性广告会将用户引导到托管在谷歌网站上的钓鱼网站。然后，这些网站将访问者引导到外部钓鱼页面，这些页面会捕获登录凭据和双因素身份验证 (2FA) 代码。然后，收集的数据通过 WebSocket 传输到攻击者管理的外部服务器。

利用 Google Ads 的 URL 政策

促成此次攻击的一个关键策略是 Google Ads 的政策，该政策允许最终网址（点击广告后的目标页面）与显示网址不同（只要域名匹配）。此漏洞使攻击者能够在 Google 网站上托管中间钓鱼页面，同时显示看似合法 Google Ads 链接的网址。

高级逃避技术

为了逃避检测，攻击者采用了多种技术，包括指纹识别、反机器人检测、伪装、基于 CAPTCHA 的诱饵和混淆方法，以掩盖其网络钓鱼基础设施的真实性质。这些策略帮助他们绕过安全措施并避免被自动化系统标记。

利用受感染账户进行攻击

一旦帐户被盗，攻击者就会登录，添加新管理员，并利用受害者的广告预算来投放欺诈性 Google 广告。这让他们能够进一步扩大网络钓鱼行动，形成一个循环，即利用被劫持的帐户引诱更多受害者。

与巴西威胁行为者的可能联系

有证据表明，这些活动的背后有多个个人或团体。值得注意的是，他们中的许多人都是葡萄牙语使用者，可能在巴西境内活动。网络钓鱼基础设施利用了葡萄牙 .pt 顶级域名 (TLD) 的中间域名，进一步支持了这一假设。

谷歌对欺诈性广告的回应

谷歌已承认这些恶意活动，并正在积极监控其广告网络以防止滥用。该公司对试图误导用户了解其业务、产品或服务的欺骗性广告商采取了严厉措施。

为应对威胁，删除数十亿条广告

仅在 2023 年，谷歌就删除了超过 34 亿条广告，限制了超过 57 亿条广告，并暂停了约 560 万个广告客户账户。其中，2.065 亿条广告因违反谷歌的虚假陈述政策而被明确屏蔽。这些数字凸显了谷歌对欺诈性广告的持续打击以及谷歌对维护广告诚信的承诺。