具有讽刺意味的是,网络犯罪分子现在利用谷歌搜索广告来推广钓鱼网站,窃取广告客户在谷歌广告平台上的凭证。
攻击者在谷歌搜索上运行冒充谷歌广告的广告,以赞助商结果的形式将潜在受害者重定向到托管在谷歌网站上但看起来像谷歌广告官方主页的虚假登录页面,并要求他们在那里登录自己的账户。
谷歌网站被用来托管钓鱼网页,因为它允许攻击者伪装他们的虚假广告,因为URL(sites.google.com)与谷歌广告的根域相匹配,可以完全冒充。
冒充谷歌广告的虚假广告(Malwarebytes 实验室)
“的确,除非您的登陆页面(最终 URL)与相同的域名相匹配,否则您不能在广告中显示 URL。”Malwarebytes 研究部高级总监 Jérôme Segura 说:“虽然这是一条旨在防止滥用和冒充的规则,但却很容易被绕过。”
“回过头来看这个广告和谷歌网站页面,我们发现这个恶意广告并没有严格违反规则,因为sites.google.com使用了相同的根域ads.google.com。换句话说,它被允许在广告中显示这个网址,因此使它与谷歌公司发布的同一广告没有区别。”
据遭受过这些攻击或亲眼目睹过这些攻击的人说,这些攻击包括多个阶段:
- 受害者将其谷歌账户信息输入钓鱼页面。
- 网络钓鱼工具包收集唯一标识符、cookie 和凭证。
- 受害者可能会收到一封电子邮件,显示从一个不寻常的地点(巴西)登录。
- 如果受害者未能阻止这一尝试,就会通过不同的 Gmail 地址向 Google Ads 帐户添加新的管理员。
- 威胁行为者疯狂消费,并锁定受害者(如果可以的话
攻击流程(Malwarebytes 实验室)
至少有三个网络犯罪团伙是这些攻击的幕后黑手,其中包括很可能在巴西活动的讲葡萄牙语者、使用香港(或中国)广告商账户的亚洲威胁行为者,以及很可能由东欧人组成的第三个团伙。
Malwarebytes 实验室发现了这一正在进行的活动,并认为犯罪分子的最终目的是在黑客论坛上出售窃取的账户,并利用其中一些账户使用相同的网络钓鱼技术发动未来的攻击。
“这是我们追踪到的最恶劣的恶意广告行动,已经触及谷歌业务的核心,很可能影响到他们全球成千上万的客户。我们一直在日以继夜地报告新的事件,但仍不断发现新的事件,甚至在本报告发布时也是如此,”塞古拉补充说。
“具有讽刺意味的是,开展广告活动的个人和企业很有可能没有使用广告拦截器(以查看自己和竞争对手的广告),这使他们更容易上当受骗。”
被盗的谷歌广告账户深受网络犯罪分子的追捧,他们经常将这些账户用作其他攻击的燃料,这些攻击还滥用谷歌搜索广告来推送恶意软件和各种骗局。
“我们明令禁止旨在欺骗他人以窃取其信息或进行诈骗的广告。我们的团队正在积极调查这个问题,并迅速加以解决。”当被要求提供更多有关攻击的细节时,谷歌告诉 BleepingComputer。
在整个 2023 年,谷歌还阻止或删除了 2.065 亿条违反其虚假陈述政策的广告。此外,谷歌还删除了超过 34 亿条广告,限制了超过 57 亿条广告,并暂停了超过 560 万个广告客户账户。