Застосовуючи особливо зухвалу тактику, кілька загрозливих осіб видають себе за сторінки входу в Google Ads, щоб обманом змусити рекламодавців надати облікові дані свого облікового запису.
Зловмисники з таких географічно розкиданих регіонів, як Південна Америка, Азія та Східна Європа, потім використовують зламані облікові записи в режимі реального часу, щоб купувати та розповсюджувати шкідливу рекламу та шкідливе програмне забезпечення через Google Ads.
«Найбільш кричуща» рекламна кампанія за всю історію
Здається, шахраї в багатьох випадках досягають успіху, оскільки їхні оголошення можуть показувати ads.google.com URL. За словами дослідників Malwarebytes, які нещодавно помітили зловмисну активність, їх практично неможливо відрізнити від законної реклами Google.
«Це найбільш кричуща операція зі зловмисної реклами, яку ми коли-небудь відстежували, вона поглинула суть бізнесу Google і, ймовірно, вплинула на тисячі їхніх клієнтів у всьому світі», — Джером Сегура, дослідник Malwarebytes. написав у дописі в блозі цього тижня. «Ми цілодобово повідомляємо про нові інциденти, але продовжуємо виявляти нові, навіть на момент публікації».
Google Ads це рекламна платформа, яка дозволяє компаніям і окремим особам відображати цільову рекламу в результатах пошуку Google, на веб-сайтах, у мобільних програмах та інших онлайн-ресурсах на основі пошукової поведінки та інтересів користувачів. Часто найкращі результати пошуку спонсоруються, тобто хтось заплатив за таку високу видимість. Для контексту пошук Google згенерував деякі 175 мільярдів доларів доходів від реклами в 2023 році.
За словами Сегури, нещодавно спостерігався потік підроблених рекламних оголошень для Google Ads, спрямованих на компанії та окремих осіб, які бажають розмістити рекламу в Пошуку Google або бажають увійти у свої облікові записи Google Ads. Схоже, що оголошення надходять від Google і мають на меті допомогти людям зареєструвати обліковий запис Google Ads або ввійти в існуючий обліковий запис. Користувачі, які натискають ці оголошення, спрямовуються на підроблену домашню сторінку Google Ads, з якої вони спрямовуються на зовнішні сайти, створені спеціально для викрадення імен користувачів і паролів до облікових записів Google рекламодавця.
Зловмисники використовують безкоштовну платформу Google для створення веб-сайтів Google Sites для розміщення сторінок-приманок. Це тактика, яка, за словами Segura, дозволяє їм тривіально обійти політику Google, яка дозволяє рекламодавцям включати URL-адресу у свої оголошення, лише якщо URL-адреса відповідає доменному імені рекламодавця. «Озираючись на рекламу та сторінку Google Sites, ми бачимо це [the] зловмисний [ads do] не суворо порушує правило, оскільки sites.google.com використовує ті самі кореневі домени, що й ads.google.com”, – сказав Сегура. “Іншими словами, дозволено показувати цю URL-адресу в оголошенні, тому її неможливо відрізнити від тієї самої оголошення, розміщене компанією Google LLC”.
Google активно розслідує кібератаки
У коментарі, надісланому електронною поштою, представник Google сказав, що компанія наразі «активно досліджує» проблему та працює над швидким вирішенням проблеми. «Ми категорично забороняємо рекламу, яка має на меті ввести в оману людей, щоб викрасти їхню інформацію або обдурити їх», — сказав речник.
Як контекст прес-секретар вказав на зростаюча витонченість і масштаб рекламних кампаній, а також відомі випадки, коли зловмисники створювали тисячі шкідливих облікових записів одночасно, щоб поширювати шкідливу рекламу на ресурсах Google. Часто ці учасники використовують такі методи, як маніпулювання текстом, щоб обійти механізми автоматизованого виявлення. В інших випадках вони використовують тактику маскування, щоб показувати рецензентам і системам Google різні оголошення, ніж ті, які бачать користувачі. «Щоб дати відчуття масштабу нашого правозастосування у 2023 роціми видалили понад 3,4 мільярда оголошень, обмежили понад 5,7 мільярда оголошень і призупинили понад 5,6 мільйонів облікових записів рекламодавців», – сказав речник.
Видача себе за Google Ads: проста та ефективна соціальна інженерія
У коментарях для Dark Reading Сегура каже, що найбільш помітною частиною нової зловмисної діяльності є уособлення бренду Google Ads шляхом поєднання URL-адрес Google Sites з рекламою. «Це простий і водночас ефективний трюк, через який цю рекламу неймовірно важко відрізнити від справжньої», — каже Сегура. Ситуацію ускладнює той факт, що зловмисники часто використовують скомпрометовані облікові записи Google Ads, щоб розміщувати ще більше фальшивих оголошень у Пошуку Google, через що зупинити цю діяльність складно.
За його словами, Google повинен ускладнювати для зловмисників реалізацію таких схем видавання себе за іншу особу. «Питання «як» є більш складним, оскільки воно передбачає перевірку ділової практики та … існуючої політики безпеки».
Сегура каже, що Malwarebytes відстежує та звітує про кожен інцидент зловмисної реклами, який їй трапляється, за допомогою відстеження в реальному часі, до якого команда Google Ads має доступ. «Для нас це був корисний інструмент не лише для полегшення процесу звітування, але й для збереження історичних даних», — зазначає він. Відповідь Google полягала у вживанні заходів щодо реклами, про яку повідомляє Malwarebytes. “[But] суб’єкти загрози можуть негайно повернутися, ніби кампанія ніколи не припинялася. Ми говоримо про десятки облікових записів, які спалюються, але їх достатньо, щоб це продовжувалося нескінченно».
