Как мошенники крадут аккаунты Google Ads и Bing Ads

Google Ads заслужила репутацию крепкой рекламной сети с надежными антифрод-алгоритмами. Считается, что модерацию с серыми офферами пройти очень сложно, но иногда система дает сбой.

Сегодня расскажем о том, как злоумышленники обошли защиту Google Ads и несколько недель рекламировали фишинговые страницы через рекламную сеть.

Детали фишинга в Google Ads

В конце января западные СМИ про диджитал-маркетинг массово начали писать о том, что в поисковой выдаче Google показываются рекламные объявления, которые ведут на фишинговые лендинги. Исследователи связывают атаку с охотой на рекламные аккаунты.

Механика фишинга строится на том, что пользователи переходят на поддельную страницу Google Ads или Bing Ads и вводят данные учетной записи. Далее злоумышленники могут использовать профиль для запуска рекламы и кражи средств со счета.

На скриншоте видно, что в выдаче показывается ads.google.com, но на самом деле это трюк с подменой адреса. В информации о рекламодателе видно, что объявления запускались от имени «левых» физических и юридических лиц.

После перехода на страницу с поддельным Google Ads пользователь видит сайт на домене sites.google.com. Злоумышленники используют подмену с помощью «корневого домена». Система видит основной домен Google и позволяет показывать любой конечный адрес с поддоменами в рекламной выдаче.

Если пользователь авторизуется на фишинговом сайте, данные попадут в руки злоумышленников. От этого может спасти двухфакторная авторизация, но, к сожалению, не все юзеры ее активировали.

Судя по последним публичным данным, всего около 10% владельцев учетных записей Google используют 2FA. Цифры, скорее всего, устарели. Но вряд ли сейчас более 50% профилей под защитой двухфакторной авторизации.

Схема фишинга с маскировкой под Bing Ads не сильно отличается от ситуации с Google Ads. Мошенники создают фейковые страницы уже без подмены адресов, а с использованием клоакинга, и также собирают пароли.

Может показаться, что на такие простые схемы скама реагируют лишь неопытные пользователи и они затрагивают минимальное количество людей. Но статистика показывает, что это не так. Мошенники делают ставку на невнимательность, а допустить ошибку может каждый.

Как вебу защититься от потери аккаунтов?

Арбитражники постоянно взаимодействуют с фармами и агентскими профилями. Они входят в число потенциальных жертв для скамеров, которые создают фишинговые страницы.

К примеру, если веб переходит в рекламную сеть не из закладок, а вводит запрос в Google, то может попасть и на фейковую страницу. Пока новых волн рекламы фишинговых сайтов замечено не было, но ситуация остается динамичной.

Рекомендации вебам:

1. Внимательно следить за доменами рекламных сетей. Рекомендуется создать список закладок для антидетект-браузера и переносить его на все профили.
2. Беречь данные учетных записей. Если регистрируетесь в новой сетке, лучше проверить, есть ли о ней упоминания в Google.
3. Включить двухфакторную авторизацию. Даже если скамеры получат данные аккаунта, они не смогут нанести ущерб.
4. Следить за новостями в профильных сообществах. Каналов и чатов в Телеграме десятки, и многие из них оперативно сообщают о фишинге и скаме.

Аккаунты рекламных сетей с хорошим трастом всегда ценились, поэтому аффилиатам стоит пересмотреть подходы к протоколам безопасности. Фишинг в рекламной выдаче и в личных сообщениях — далеко не все уловки в арсенале мошенников.

Кража личных данных и профилей вряд ли когда-то закончится, поэтому рекомендуем следить за нашей рубрикой «Киберпаранойя». И всегда сохранять холодный ум, когда вопрос касается аккаунтов или финансов.