Google廣告惡意廣告騙局

網路安全研究人員發現了一種新的惡意廣告活動，針對透過 Google Ads 做廣告的個人和企業。該計劃涉及冒充 Google Ads 本身的欺騙性廣告，引誘受害者陷入旨在竊取其憑證的網路釣魚陷阱。

以帳戶接管為目標

攻擊者的主要目標是劫持盡可能多的 Google Ads 帳戶。透過將受害者重新導向到虛假登入頁面，他們竊取了可以重複使用以擴大其活動的憑證。此外，這些被盜用的帳戶可能會在地下論壇上出售。 Reddit、Bluesky 和 Google 支援論壇上的報告表明，這項活動至少自 2024 年 11 月中旬以來一直在持續。

與 Facebook 企業帳號策略的相似之處

這次活動中使用的策略與過去針對 Facebook 業務和廣告帳號的攻擊所使用的策略非常相似。在這些情況下，網路犯罪分子部署竊取惡意軟體以獲得未經授權的訪問，並使用被劫持的帳戶進行虛假廣告活動，從而進一步傳播惡意軟體。

搜尋引擎利用和重定向策略

威脅行為者將他們的活動設計為當用戶在 Google 搜尋引擎上搜尋「Google Ads」時就會出現。點擊這些詐騙廣告會將使用者引導至 Google 協作平台上託管的網路釣魚網站。然後，這些網站將訪客引導至捕獲登入憑證和雙重認證 (2FA) 代碼的外部網路釣魚頁面。然後，收集到的資料透過 WebSocket 傳輸到攻擊者管理的外部伺服器。

利用 Google Ads 的網址政策

促成這種攻擊的關鍵策略是 Google Ads 的政策，只要網域名稱匹配，最終 URL（點擊廣告後的目標頁面）就可以與顯示 URL 不同。此漏洞使攻擊者能夠在 Google 協作平台上託管中間網路釣魚頁面，同時顯示看似合法 Google Ads 連結的網址。

先進的規避技術

為了逃避偵測，攻擊者採用了多種技術，包括指紋辨識、反機器人偵測、偽裝、驗證碼啟發的誘餌以及隱藏其網路釣魚基礎設施真實性質的混淆方法。這些策略幫助他們繞過安全措施並避免被自動化系統標記。

將受損帳戶武器化

一旦帳戶被盜，攻擊者就會登錄，添加新管理員，並利用受害者的廣告預算來運行欺詐性 Google Ads。這使他們能夠進一步擴大網路釣魚活動，從而形成一個循環，利用被劫持的帳戶來引誘更多受害者。

與巴西威脅行為者的可能聯繫

有證據表明，這些活動背後有多個個人或團體。值得注意的是，其中許多人講葡萄牙語，並且可能在巴西開展業務。網路釣魚基礎設施利用葡萄牙 .pt 頂級域名 (TLD) 的中間域，進一步支持了這個假設。

谷歌對詐騙廣告的回應

谷歌已經承認這些惡意活動，並積極監控其廣告網路以防止濫用。該公司對試圖誤導用戶其業務、產品或服務的欺騙性廣告商採取嚴格措施。

刪除數十億廣告以應對威脅

光是 2023 年，Google就刪除了超過 34 億則廣告，限制了超過 57 億則廣告，並暫停了約 560 萬個廣告商帳號。其中，有 2.065 億個廣告因違反 Google 的虛假陳述政策而被明確封鎖。這些數字突顯了針對詐欺性廣告的持續鬥爭以及 Google 對維護廣告完整性的承諾。