Fałszywe reklamy w Google. Podszywają się pod giganta

O nieprzyjemnych sytuacjach związanych z płatnymi ogłoszeniami w Google jest głośno od kilku lat, gdy pojawiły się pierwsze doniesienia o działaniach oszustów w tym zakresie. W sierpniu ubiegłego roku przedstawiliśmy sprawę cloackingu w reklamach, zaś w październiku 2023 roku na łamach CyberDefence24 opisywaliśmy przypadek podszycia się cyberprzestępców pod menedżera haseł Keepass. Ten drugi przypadek był możliwy dzięki odpowiedniemu wykorzystaniu mechanizmów przygotowanych przez amerykańskie przedsiębiorstwo.

Kolejny phishing w reklamach Google

Jak zidentyfikował Malwarebytes, aktorzy zagrożeń postanowili przygotować kampanie podszywające się pod Google Ads, wymierzone w reklamodawców korzystających z usług przedsiębiorstwa. A wszystko z wykorzystaniem tegoż właśnie modułu reklamowego.

Jak konkretnie wygląda ta wersja phishingu? Osoba chcąca wejść do panelu wpisuje w wyszukiwarkę „Google Ads”. Zgodnie z ustawieniami firmy, nad właściwymi wynikami wyświetlają się najpierw pozycje reklamowe, które w tym przypadku prowadzą do uprzednio przygotowanych przez oszustów stron internetowych. 

Użytkownik, widząc na jednej z podstawionych stron okienko do wpisania danych do zalogowania, przekazuje nieświadomie swoje dane przestępcom, którzy logują się na konto i przejmują nad nim kontrolę. Ostatecznie zostaje dodany nowy administrator, zaś poprzedni właściciel (ofiara) może być z kolei odłączony.

Wykorzystali mechanizmy Google'a i przejęte konta

Jak możliwe jest, aby Google akceptowało reklamy podszywające się pod ich własny moduł?

Otóż, scamerskie ogłoszenia płatne są dodawane z wykorzystaniem kont, które zostały już przejęte przez cyberprzestępców. Pochodzą z różnych części świata, ale tożsamość właścicieli we wszystkich przypadkach jest potwierdzona przez firmę. Informacje Malwarebytes wskazują, że takie treści wyświetlają się w różnych krajach, w tym w Polsce.

Drugim istotnym elementem jest wykorzystanie dwóch stron w procesie wyłudzania danych. Pierwsza z nich, na którą trafia potencjalna ofiara z wyszukiwarki, wykorzystuje usługę Stron Google i posiada szatę graficzną modułu reklamowego. Druga zaś umieszczona jest pod innym, niezależnym adresem. 

Trik polega na wykorzystaniu zasady obowiązującej w przypadku wyświetlanego adresu URL: domena wyświetlana musi zgadzać się z domeną końcową. Ponieważ pierwsza strona korzysta z domeny Google’a, oszuści mogą bez problemu zamieścić reklamę podszywającą się pod dowolną usługę przedsiębiorstwa.

Dane mogą trafić do darknetu. Ostrożność metodą obrony

Pochodzący z Brazylii oraz Azji cyberprzestępcy wykorzystują zdobyte dane (obejmujące także geolokalizację ofiary czy jej dostawcę internetowego) na dwa sposoby: część zostaje sprzedana w darknecie, niektóre zaś pozostają w ich rękach w celu kupowania kolejnych reklam phishingowych i przejmowania następnych kont.

Jak nie dać się nabrać i skutecznie się bronić przed takimi próbami wyłudzeń? Przede wszystkim nie ufać reklamom i zwracać uwagę na adresy stron. Innym ze sposobów jest także instalacja oprogramowania typu adblock. Zalecał go NASK w zeszłorocznym przypadku cloackingu, wyjaśniając przy tym, że nadal trwa oczekiwanie na wprowadzenie lepszych metod ochrony przez platformy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].