Вредоносная реклама в Google помогает угонять аккаунты Google Ads

[BOOX]

Специалисты Malwarebytes

Для просмотра ссылки необходимо нажать Вход или Регистрация

, что хакеры начали использовать рекламу в Google для продвижения фишинговых сайтов, которые воруют учетные данные от аккаунтов Google Ads.

Злоумышленники размещают свои объявления в поисковой выдаче Google, притворяясь рекламой Google Ads. Такие ссылки приводят пользователей на поддельные страницы входа, размещенные на Google Sites. Визуально они повторяют официальный сайт Google Ads, и потенциальную жертву просят войти в учетную запись.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Фальшивая реклама

Google Sites используется для размещения фишинговых страниц, потому что домен sites.google.com совпадает с корневым доменом Google. Это помогает преступникам маскировать свои подделки под официальные ресурсы.

«Конечно, нельзя показывать URL в рекламе, если ваша целевая страница (конечный URL) не совпадает с тем же доменным именем. Хотя это правило призвано защитить от злоупотреблений и мошенничества, его очень легко обойти, — объясняет Жером Сегура (Jérôme Segura), старший исследователь Malwarebytes. — Если посмотреть на объявление и страницу Google Sites, мы увидим, что вредоносное объявление не нарушает правил, поскольку sites.google.com использует те же корневые домены, что и ads.google.com. Другими словами, разрешено показывать этот URL в объявлении, что делает его неотличимым от такого же объявления, действительно размещенного Google LLC».

Для просмотра ссылки необходимо нажать Вход или Регистрация

Схема атаки

По информации от людей, которые

Для просмотра ссылки необходимо нажать Вход или Регистрация

таких атак или

Для просмотра ссылки необходимо нажать Вход или Регистрация

за тем, как они работают, атаки происходят в несколько этапов:

1. Жертва вводит логин и пароль от своего аккаунта на фейковом сайте.
2. Специальный фишинг-кит похищает cookie, учетные данные и уникальные идентификаторы.
3. Жертва получает письмо с уведомлением о подозрительном входе в аккаунт (например, из Бразилии).
4. Если пользователь не отреагирует на это предупреждение, атакующие добавят нового администратора в Google Ads, используя другой адрес Gmail.
5. После этого преступники начинают похищать деньги с аккаунта и при необходимости блокируют доступ настоящему владельцу.

В Malwarebytes полагают, что за этими атаками стоят как минимум три хак-группы: говорящая на португальском группировка из Бразилии; группа из Азии, использующая аккаунты рекламодателей из Гонконга и Китая; а также некая команда из Восточной Европы.

Исследователи считают, что главная цель хакеров — продавать украденные аккаунты в даркнете, а также использовать некоторые из них для последующих атак по аналогичной схеме.

«Это одна из самых наглых схем по распространению вредоносной рекламы, с которой мы когда-либо сталкивались. Она затрагивает саму основу бизнеса Google и может угрожать тысячам клиентов компании по всему миру. Мы ежедневно фиксируем новые инциденты, — пишет Сегура. — Ирония ситуации заключается в том, что частные лица и компании, которые проводят рекламные кампании, вполне вероятно не используют блокировщики рекламы (чтобы видеть свою рекламу и рекламу конкурентов), что делает их еще более уязвимыми перед такими фишинговыми схемами».

После публикации отчета Malwarebytes представители Google сообщили, что уже занимаются этой проблемой:

«Мы категорически запрещаем рекламу, созданную с целью обмана людей, кражи их данных или проведения мошеннических действий. Наши специалисты уже активно изучают эту проблему и работают над ее скорейшим устранением».

Для просмотра ссылки необходимо нажать Вход или Регистрация