Злоумышленники продвигают фишинговые копии легитимных сайтов через рекламу в Google, охотясь за бизнес-аккаунтами и данными компаний.
Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче.
Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
Согласно отчету Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу.
Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
Неудивительно, что нашлись злоумышленники, затеявшие , нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
Отличить фишинговые страницы от оригинала можно только по адресу. Как и в случае с настоящей формой входа в Semrush, на поддельных страницах предлагается два основных способа аутентификации: войти через Google-аккаунт или же ввести логин и пароль непосредственно от Semrush. Однако при этом злоумышленники заботливо заблокировали поля для ввода учетных данных второй опции. Таким образом, жертвам ничего больше не оставалось, кроме как выбирать вариант аутентификации с помощью Google.
Далее открывалась следующая поддельная страница, не менее убедительно имитирующая вход с Google-аккаунтом. Разумеется, введенные на ней данные учетной записи Google попадали напрямую в руки злоумышленников.
Преступники смогли добиться этого с помощью использования другого сервиса Google — платформы для создания сайтов Google Sites. Согласно правилам Google Ads, на рекламном объявлении может быть размещен адрес любой страницы, при условии что ее домен совпадает с доменом конечного сайта, на который ведет ссылка из данного объявления.
Ссылки с промежуточного сайта ведут дальше, на страницу, имитирующую механизм входа в аккаунт Google Ads. В случае если жертва атаки не замечает того, что в этот момент покидает страницы, принадлежащие Google, и вводит свои учетные данные, они попадают прямиком в руки преступников.
Чтобы обеспечить безопасность вашей организации и защиту от подобных фишинговых кампаний, мы рекомендуем следующее:
Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче.
Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
Согласно отчету Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу.
Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
Поддельные страницы Semrush
— популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.Неудивительно, что нашлись злоумышленники, затеявшие , нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
Отличить фишинговые страницы от оригинала можно только по адресу. Как и в случае с настоящей формой входа в Semrush, на поддельных страницах предлагается два основных способа аутентификации: войти через Google-аккаунт или же ввести логин и пароль непосредственно от Semrush. Однако при этом злоумышленники заботливо заблокировали поля для ввода учетных данных второй опции. Таким образом, жертвам ничего больше не оставалось, кроме как выбирать вариант аутентификации с помощью Google.
Далее открывалась следующая поддельная страница, не менее убедительно имитирующая вход с Google-аккаунтом. Разумеется, введенные на ней данные учетной записи Google попадали напрямую в руки злоумышленников.
Фальшивый Google Ads в рекламе Google Ads
Еще интереснее выглядит вариант той же атаки, в ходе которой преступники использовали . Ее механизм весьма похож на вышеописанную охоту за учетными данными Semrush, за исключением одной крайне интересной детали — отображаемое в рекламном блоке доменное имя поддельной версии Google Ads полностью совпадает с копируемым оригиналом (ads.google[.]com).Преступники смогли добиться этого с помощью использования другого сервиса Google — платформы для создания сайтов Google Sites. Согласно правилам Google Ads, на рекламном объявлении может быть размещен адрес любой страницы, при условии что ее домен совпадает с доменом конечного сайта, на который ведет ссылка из данного объявления.
Ссылки с промежуточного сайта ведут дальше, на страницу, имитирующую механизм входа в аккаунт Google Ads. В случае если жертва атаки не замечает того, что в этот момент покидает страницы, принадлежащие Google, и вводит свои учетные данные, они попадают прямиком в руки преступников.
Как защитить компанию от фишинга
Глобально проблему с продвижением вредоносных сайтов через Google Ads может решить только сама Google. Впрочем, следует отметить, что в обоих описанных случаях — как с рекламой поддельной страницы Google Ads, так и с рекламой фальшивых сайтов Semrush — сервис достаточно быстро принял меры и перестал выдавать их в первых строках поиска.Чтобы обеспечить безопасность вашей организации и защиту от подобных фишинговых кампаний, мы рекомендуем следующее:
- Напоминайте сотрудникам, что часто используемые сайты лучше всего вносить в закладки, а не полагаться каждый раз на поисковые сервисы.
- Обучайте сотрудников распознавать потенциальные угрозы. Например, это можно легко и недорого организовать с помощью образовательных платформ, позволяющих автоматизировать процесс обучения.
- Обязательно используйте многофакторную аутентификацию во всех сервисах, которые позволяют это делать. В случае Google-аккаунтов лучше всего использовать так называемые ключи доступа.
- Установите надежную защиту на все корпоративные устройства — она вовремя предупредит об опасности и заблокирует переход на подозрительный сайт.
