В начале января специалисты из компании Malwarebytes рассказали о новой и весьма наглой схеме мошенничества в Google Ads. На этот раз злоумышленники из Бразилии, Китая и Восточной Европы создавали сайты-прокладки на домене sites.google.com с копированием внешнего вида рекламной платформы «Гугл», редиректили пользователей на фишинговые сайты и крали логины и пароли рекламодателей и владельцев сайтов.
Какие технологии использовали мошенники
Создание фишингового сайта
Google Sites — инструмент, который позволяет создавать персональные и корпоративные промо-страницы и целые сайты. Мошенники воспользовались его инструментами для полного копирования интерфейса Google Ads, в том числе страницы авторизации.

Вот примеры доменов мошеннических сайтов, созданных через такие промостраницы:

Размещение вредоносной рекламы в Google Ads
Malvertising — это мошенническая технология, при которой киберпреступники размещают вредоносную рекламу в поиске, на сайтах и в других каналах. Она используется для совершения фишинговых операций и других атак.
Именно этой технологией и воспользовались злоумышленники. От лица рекламодателя они размещали в Google Ads объявления со ссылкой на созданные на sites.google.com сайты и брендировали их под рекламную платформу.

Эксперты предполагают, что успешно пройти модерацию мошенникам помог именно корневой домен их сайтов — google.com. Поэтому мошенники-рекламодатели могли указывать URL ads.google.com в своих объявлениях, чтобы имитировать рекламу от Google LLC.
Мошеннические объявления были созданы для разных страниц, не только на главную. Например, Sign Up, Sign In и др.
Что было дальше
Рекламодатели, которые хотели запустить рекламу в «Гугл» или перейти в уже созданный аккаунт, кликали на поиске по рекламе и попадали якобы на страницу Google Ads (на самом деле, фишинговый сайт).

Далее пользователи кликали по кнопке для перехода на страницу авторизации или регистрации. Ссылка с кнопки редиректила их на очередной мошеннический ресурс, который также копировал внешний вид площадки, где они указывали свои данные авторизации и, таким образом, теряли доступ к аккаунту.
Примеры фишинговых доменов:

После этого в аккаунт добавлялся новый администратор, а прежний терял к нему доступ. В дальнейшем некоторые угнанные аккаунты мошенники использовали для размещения новой вредоносной рекламы в Google и расходовали средства на балансе.

Помимо данных авторизации злоумышленники также собирали уникальные идентификаторы пользователей и файлы cookie.
Как эксперты определили фальшивую рекламу
Эксперты по кибербезопасности из Malwarebytes смогли распознать подставную рекламу по подробному просмотру данных рекламодателя. Если бы реклама принадлежала корпорации, то в данном случае должен был быть указан Google LLC.

Таким образом они смогли отследить всю мошенническую цепочку и выявить локацию киберпреступников. После публикации данного отчета от киберэкспертов представители рекламной платформы сообщили, что уже занимают этой проблемой.

Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.