Google Ads заслужила репутацию крепкой рекламной сети с надежными антифрод-алгоритмами. Считается, что модерацию с серыми офферами пройти очень сложно, но иногда система дает сбой.
Сегодня расскажем о том, как злоумышленники обошли защиту Google Ads и несколько недель рекламировали фишинговые страницы через рекламную сеть.
Детали фишинга в Google Ads
В конце января западные СМИ про диджитал-маркетинг массово начали писать о том, что в поисковой выдаче Google показываются рекламные объявления, которые ведут на фишинговые лендинги. Исследователи связывают атаку с охотой на рекламные аккаунты.
Механика фишинга строится на том, что пользователи переходят на поддельную страницу Google Ads или Bing Ads и вводят данные учетной записи. Далее злоумышленники могут использовать профиль для запуска рекламы и кражи средств со счета.
На скриншоте видно, что в выдаче показывается ads.google.com, но на самом деле это трюк с подменой адреса. В информации о рекламодателе видно, что объявления запускались от имени «левых» физических и юридических лиц.
После перехода на страницу с поддельным Google Ads пользователь видит сайт на домене sites.google.com. Злоумышленники используют подмену с помощью «корневого домена». Система видит основной домен Google и позволяет показывать любой конечный адрес с поддоменами в рекламной выдаче.
Если пользователь авторизуется на фишинговом сайте, данные попадут в руки злоумышленников. От этого может спасти двухфакторная авторизация, но, к сожалению, не все юзеры ее активировали.
Судя по последним публичным данным, всего около 10% владельцев учетных записей Google используют 2FA. Цифры, скорее всего, устарели. Но вряд ли сейчас более 50% профилей под защитой двухфакторной авторизации.
Схема фишинга с маскировкой под Bing Ads не сильно отличается от ситуации с Google Ads. Мошенники создают фейковые страницы уже без подмены адресов, а с использованием клоакинга, и также собирают пароли.
Может показаться, что на такие простые схемы скама реагируют лишь неопытные пользователи и они затрагивают минимальное количество людей. Но статистика показывает, что это не так. Мошенники делают ставку на невнимательность, а допустить ошибку может каждый.
Как вебу защититься от потери аккаунтов?
Арбитражники постоянно взаимодействуют с фармами и агентскими профилями. Они входят в число потенциальных жертв для скамеров, которые создают фишинговые страницы.
К примеру, если веб переходит в рекламную сеть не из закладок, а вводит запрос в Google, то может попасть и на фейковую страницу. Пока новых волн рекламы фишинговых сайтов замечено не было, но ситуация остается динамичной.
Рекомендации вебам:
- Внимательно следить за доменами рекламных сетей. Рекомендуется создать список закладок для антидетект-браузера и переносить его на все профили.
- Беречь данные учетных записей. Если регистрируетесь в новой сетке, лучше проверить, есть ли о ней упоминания в Google.
- Включить двухфакторную авторизацию. Даже если скамеры получат данные аккаунта, они не смогут нанести ущерб.
- Следить за новостями в профильных сообществах. Каналов и чатов в Телеграме десятки, и многие из них оперативно сообщают о фишинге и скаме.
Аккаунты рекламных сетей с хорошим трастом всегда ценились, поэтому аффилиатам стоит пересмотреть подходы к протоколам безопасности. Фишинг в рекламной выдаче и в личных сообщениях — далеко не все уловки в арсенале мошенников.
Кража личных данных и профилей вряд ли когда-то закончится, поэтому рекомендуем следить за нашей рубрикой «Киберпаранойя». И всегда сохранять холодный ум, когда вопрос касается аккаунтов или финансов.
