ومن المفارقات أن مجرمي الإنترنت يستخدمون الآن إعلانات بحث Google للترويج لمواقع التصيد الاحتيالي التي تسرق بيانات اعتماد المعلنين لنظام إعلانات Google الأساسي.
يعرض المهاجمون إعلانات على بحث Google تنتحل شخصية إعلانات Google، وتظهر كنتائج دعائية تعيد توجيه الضحايا المحتملين إلى صفحات تسجيل دخول مزيفة مستضافة على مواقع Google ولكنها تبدو مثل الصفحة الرئيسية الرسمية لإعلانات Google، حيث يُطلب منهم تسجيل الدخول إلى حساباتهم.
تُستخدم مواقع Google لاستضافة صفحات التصيد الاحتيالي لأنها تسمح للمهاجمين بتمويه إعلاناتهم المزيفة، نظرًا لأن عنوان URL (sites.google.com) يطابق النطاق الجذر لـ إعلانات Google من أجل انتحال الهوية بشكل كامل.
“Indeed, you cannot show a URL in an ad unless your landing page (final URL) matches the same domain name. While that is a rule meant to protect abuse and impersonation, it is one that is very easy to get around,” قال جيروم سيجورا، مدير أول للأبحاث في Malwarebytes.
“Looking back at the ad and the Google Sites page, we see that this malicious ad does not strictly violate the rule since sites.google.com uses the same root domains ads ads.google.com. In other words, it is allowed to show this URL in the ad, therefore making it indistinguishable from the same ad put out by Google LLC.”
وفقا للأشخاص الذين سواء”https://support.google.com/google-ads/thread/313042073/help-with-removing-a-dangerous-scam-in-google-ads?hl=en” الهدف=”_blank” rel=”nofollow noopener”>سقط ضحية لهذه الهجمات أو”https://www.reddit.com/r/phishing/comments/1gt0rfd/its_just_me_or_google_just_sponsored_a_link_to_a/” الهدف=”_blank” rel=”nofollow noopener”> رأى لهم في العمل، وتشمل الهجمات مراحل متعددة:
- يقوم الضحية بإدخال معلومات حساب Google الخاص به في صفحة التصيد الاحتيالي.
- تجمع مجموعة التصيد الاحتيالي المعرفات الفريدة وملفات تعريف الارتباط وبيانات الاعتماد.
- قد تتلقى الضحية رسالة بريد إلكتروني تشير إلى تسجيل الدخول من مكان غير عادي (البرازيل)
- إذا فشلت الضحية في إيقاف هذه المحاولة، تتم إضافة مسؤول جديد إلى حساب إعلانات Google عبر عنوان Gmail مختلف.
- يذهب ممثل التهديد إلى فورة الإنفاق ويغلق الضحايا إذا استطاعوا
تقف ثلاث مجموعات على الأقل من الجرائم الإلكترونية وراء هذه الهجمات، بما في ذلك المتحدثون باللغة البرتغالية الذين يعملون على الأرجح خارج البرازيل، والجهات الفاعلة في مجال التهديد في آسيا والتي تستخدم حسابات المعلنين من هونج كونج (أو من الصين)، وعصابة ثالثة من المحتمل أن تكون مكونة من أوروبا الشرقية.
وتعتقد شركة Malwarebytes Labs، التي رصدت هذه الحملة المستمرة، أن الهدف النهائي للمجرمين هو بيع الحسابات المسروقة في منتديات القرصنة واستخدام بعضها لشن هجمات مستقبلية باستخدام نفس تقنيات التصيد الاحتيالي.
“This is the most egregious malvertising operation we have ever tracked, getting to the core of Google’s business and likely affecting thousands of their customers worldwide. We have been reporting new incidents around the clock and yet keep identifying new ones, even at the time of publication,” وأضاف سيجورا.
“Ironically, it’s quite possible that individuals and businesses that run ad campaigns are not using an ad-blocker (to see their ads and those from their competitors), making them even more susceptible to fall for these phishing schemes.”
يتم البحث عن حسابات إعلانات Google المسروقة بشكل كبير من قبل مجرمي الإنترنت”https://www.bleepingcomputer.com/news/security/arc-browsers-windows-launch-targeted-by-google-ads-malvertising/” الهدف=”_blank” rel=”nofollow noopener”> استخدمها بانتظامكوقود في”https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/” الهدف=”_blank” rel=”nofollow noopener”> هجمات أخرى هذا أيضا”https://www.bleepingcomputer.com/news/security/google-ads-push-fake-google-authenticator-site-installing-malware/” الهدف=”_blank” rel=”nofollow noopener”> إساءة استخدام إعلانات بحث Google لدفع البرامج الضارة وعمليات الاحتيال المختلفة.
“We expressly prohibit ads that aim to deceive people in order to steal their information or scam them. Our teams are actively investigating this issue and working quickly to address it,”أخبرت Google موقع BleepingComputer عندما طُلب منها تقديم مزيد من التفاصيل حول الهجمات.
طوال عام 2023، جوجل أيضا”https://services.google.com/fh/files/misc/ads_safety_report_2023.pdf” الهدف=”_blank” rel=”nofollow noopener”> محظورة أو إزالتها 206.5 مليون إعلان لانتهاك سياسة التحريف. إنه أيضًا”https://blog.google/products/ads-commerce/google-ads-safety-report-2023/” الهدف=”_blank” rel=”nofollow noopener”> تمت الإزالة أكثر من 3.4 مليار إعلان، وتقييد أكثر من 5.7 مليار، وتعليق أكثر من 5.6 مليون حساب معلن.