Кілька різних злочинних угруповань по всьому світу організовують хірургічні фішингові шахрайства, націлені на медіа-покупців рекламної індустрії.
Зокрема, шахраї обманюють покупців реклами, які входять в Google Ads після пошуку Google. Шахраї надають шахрайські спонсоровані пошукові посилання цим менеджерам із реклами, а потім зламують їхні облікові записи та використовують їхні кошти для розміщення ще більшої кількості фішингових оголошень і запуску шахрайських рекламних кампаній на основі кліків, повертаючи таким чином частину коштів собі.
Три головні оператори облікових записів Google Search і Merchant Center – двоє агентів-покупців і консультант – окремо повідомили AdExchanger, що їхні системи були проникнуті в грудні.
Джером Сегура, старший директор з досліджень Malwarebytes, у середу опублікував звіт, в якому задокументовано ті самі шахрайські операції. За його оцінками, від шахрайства постраждали тисячі власників облікових записів Google Ads.
Як це працює
Акаунти Google Ads зухвало зламують. Шахраями, які розміщують власні пошукові оголошення за запитами, пов’язаними з налаштуванням або входом у Google Ads.
Іноді замість переходу безпосередньо на певний веб-сайт або сторінку входу люди просто пишуть, можливо, «Facebook», «ESPN fantasy» або «Google Ads» у URL-адресі свого веб-переглядача. Потім вони натискають результат пошуку у верхній частині сторінки.
Коли ви використовуєте цей підхід, запитуючи «Google Ads», щоб увійти у свій обліковий запис, швидке натискання URL-адреси може виявитися великою помилкою. Помилка, яку нещодавно з розчаруванням виявили багато менеджерів із купівлі реклами.
Коротше кажучи, хтось із агентства чи рекламної фірми використовує результати пошуку Google як шлях до входу в Google Ads. За винятком того, що вони натискають спонсороване посилання, ідентичне типовому рекламному посиланню для Google Ads у результатах пошуку, з відповідним URL-адресою, яке все ще читається як ads.google.com. Це посилання переспрямовує на фішингову сторінку, яка видається за сторінку входу Google Ads. Людина вводить свою електронну адресу та пароль.
Потенційний зв’язок — двофакторна автентифікація. Один рекламодавець, який особисто попався на цю фішингову шахрайську аферу, повідомив AdExchanger, що отримав знайомий запит на автентифікацію під час входу, але в запиті говорилося, що це вхід із Бразилії, тоді як зазвичай він закріплюється саме за їхнім місцем розташування. Людина сказала, що вони пов’язують це, можливо, з чимось дивним у Wi-Fi, яким вони користуються, або VPN компанії.
Незважаючи на це, вони схвалили запит на вхід, вважаючи, що це вони входили.
Підпишіться
AdExchanger Daily
Отримуйте підбірку наших редакторів на свою поштову скриньку щодня.
Після захоплення облікового запису зловмисники негайно додали себе як адміністратора та почали створювати нові кампанії, які «ефективно закамуфльовані під наші власні кампанії».
Ці нові кампанії спочатку оплачували більше оголошень у Пошуку Google, які поширювали зловмисне програмне забезпечення. Одне джерело повідомило, що бюджети також були витрачені на іншу рекламу на основі кліків, ймовірно, на сайті, яким керують шахраї, як спосіб заробити гроші на операції. Важко сказати, сказав він, оскільки шахраї стерли дані цих кампаній.
За словами джерел, хакери також були дуже досвідченими в системі Google Ads. Отримавши адміністративний доступ до торгового та пошукового центру одного агентства, яким вони керують для багатьох облікових записів брендів, хакери націлилися на облікові записи з найбільшими гаманцями, де їхні кампанії могли бути найкраще замасковані.
«Це було дуже швидко, — сказало одне джерело, яке спостерігало за налаштуванням кампаній після захоплення облікового запису, — але також продемонструвало людську вдумливість, а не лише програмне забезпечення». («Програмний» у сенсі повністю автоматизований, не керований особою.)
Усі три джерела, з якими спілкувався AdExchanger, були мішенню хакерів, які, імовірно, діяли з Бразилії. Сегура з Malwarebytes документує інше кільце, ймовірно, в Азії – Китаї чи Гонконзі – і, як він припускає, третє базується в Східній Європі, хоча це неясно.
Це зупинилося?
Навіть цього тижня з’явилися нові звіти про ті самі оголошення з тим самим шкідливим кодом, які поширюються через рекламні посилання в Пошуку Google, повідомили AdExchanger два джерела.
Google оприлюднив цю заяву з цього приводу: «Ми категорично забороняємо рекламу, метою якої є введення в оману людей з метою викрадення їхньої інформації або обману. Наші команди активно досліджують цю проблему та швидко працюють над її вирішенням».
Однак «заборонити» — вільний термін. Заборонені речі трапляються постійно. Деякі з рекламодавців, які керують цими кампаніями, витримали десятки повідомлень про те, що вони є фішинговими аферами, перш ніж їх призупинили.
Сегура пише, що його команда повідомила про понад 50 інцидентів, пов’язаних із тим самим рекламним обліковим записом, який здійснював це шахрайство, протягом кількох днів у грудні, але не змогла виграти гру Whac-A-Mole. «Ми швидко зрозуміли, що незважаючи на кількість повідомлень про інциденти та видалення, суб’єктам загрози вдалося цілодобово зберегти принаймні одну шкідливу рекламу», — пише він.
Джерела AdExchanger також сказали, що їх власна система виявила зломи їхніх облікових записів, а не Google Ads. І що їм іноді доводилося неодноразово повідомляти про той самий обліковий запис або зловмисну рекламну кампанію.
Що з грошима?
Щоразу, коли агенції та консультанти з закупівлі реклами зламали облікові записи або спустошили бюджети шахраями, виникають незручні запитання: хто на гачку за втрачені гроші?
І це особливо незручна дискусія між Google, агентом і рекламодавцем.
Врешті-решт це була людська помилка з боку агентств, консультантів і безпосередніх рекламодавців, які стали ціллю цього шахрайства. але шахраї справді були прихильниками Google Ads, виходячи з їх глибокого досвіду роботи з системою, і використовували пошук Google як засіб шахрайства.
Три джерела, які спілкувалися з AdExchanger, сказали, що їхні компанії негайно запропонували відшкодування клієнтам. Вони також слідкують за допомогою Google. Кожна постраждала сторона заявила, що Google пропонує відшкодування, щойно компанія надішле інформацію, що документує злом, і зобов’яже дотримуватися певних стандартів безпеки облікового запису.
Інший незручний фактор у цьому зламі полягає в тому, що шахрайство Google Ads може бути не тим точка.
Зрештою, шахраї не спустошують гаманці облікових записів у власні кишені. Основна мета хакерів – це подальше поширення зловмисного програмного забезпечення, сплачуючи за нові шахрайські посилання в Пошуку Google. Зловмисне програмне забезпечення пропонує завантажити на пристрій. Тому існує занепокоєння, що уражені пристрої можуть бути знову перехоплені для інших цілей у рамках мережі зловмисного програмного забезпечення.
За словами Сегури, продаж облікових даних облікового запису Google Ads також є прибутковою угодою на чорному ринку. «Ми вважаємо, що їхня мета — перепродати ці облікові записи на форумах «чорних капелюхів», а також залишити деякі для себе, щоб увічнити ці кампанії».
Найкраща профілактика, яку можуть застосувати рекламодавці, це … припинити використання Пошуку Google як точки входу на портал входу.
Керівник, який розповів AdExchanger, що вони попалися на цей трюк, сказав, що вони завжди натискали спонсороване посилання вгорі сторінки пошуку Google.
чому
«Кожного разу я трохи розчаровувався в Google», — сказали вони. «Змусивши їх платити трохи за кожен мій вхід».
