фишинговый Google Ads

Фишинговая реклама “Google” в Google: как мошенники угоняют аккаунты рекламодателей

В начале января специалисты из компании Malwarebytes рассказали о новой и весьма наглой схеме мошенничества в Google Ads. На этот раз злоумышленники из Бразилии, Китая и Восточной Европы создавали сайты-прокладки на домене sites.google.com с копированием внешнего вида рекламной платформы «Гугл», редиректили пользователей на фишинговые сайты и крали логины и пароли рекламодателей и владельцев сайтов.

Какие технологии использовали мошенники

Создание фишингового сайта

Google Sites — инструмент, который позволяет создавать персональные и корпоративные промо-страницы и целые сайты. Мошенники воспользовались его инструментами для полного копирования интерфейса Google Ads, в том числе страницы авторизации.

Здесь и далее используются изображения с сайта Malwarebytes

Вот примеры доменов мошеннических сайтов, созданных через такие промостраницы:

Malvertising — это мошенническая технология, при которой киберпреступники размещают вредоносную рекламу в поиске, на сайтах и в других каналах. Она используется для совершения фишинговых операций и других атак.

Именно этой технологией и воспользовались злоумышленники. От лица рекламодателя они размещали в Google Ads объявления со ссылкой на созданные на sites.google.com сайты и брендировали их под рекламную платформу.

Эксперты предполагают, что успешно пройти модерацию мошенникам помог именно корневой домен их сайтов — google.com. Поэтому мошенники-рекламодатели могли указывать URL ads.google.com в своих объявлениях, чтобы имитировать рекламу от Google LLC.

Мошеннические объявления были созданы для разных страниц, не только на главную. Например, Sign Up, Sign In и др.

Что было дальше

Рекламодатели, которые хотели запустить рекламу в «Гугл» или перейти в уже созданный аккаунт, кликали на поиске по рекламе и попадали якобы на страницу Google Ads (на самом деле, фишинговый сайт).

Далее пользователи кликали по кнопке для перехода на страницу авторизации или регистрации. Ссылка с кнопки редиректила их на очередной мошеннический ресурс, который также копировал внешний вид площадки, где они указывали свои данные авторизации и, таким образом, теряли доступ к аккаунту.

Примеры фишинговых доменов:

После этого в аккаунт добавлялся новый администратор, а прежний терял к нему доступ. В дальнейшем некоторые угнанные аккаунты мошенники использовали для размещения новой вредоносной рекламы в Google и расходовали средства на балансе.

Помимо данных авторизации злоумышленники также собирали уникальные идентификаторы пользователей и файлы cookie.

Как эксперты определили фальшивую рекламу

Эксперты по кибербезопасности из Malwarebytes смогли распознать подставную рекламу по подробному просмотру данных рекламодателя. Если бы реклама принадлежала корпорации, то в данном случае должен был быть указан Google LLC.

Таким образом они смогли отследить всю мошенническую цепочку и выявить локацию киберпреступников. После публикации данного отчета от киберэкспертов представители рекламной платформы сообщили, что уже занимают этой проблемой.


Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.


Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий