Çok sayıda tehdit aktörü, özellikle küstahça bir taktikle, reklamverenleri hesap kimlik bilgilerini vermeleri için kandırmak amacıyla Google Ads giriş sayfalarını taklit ediyor.
Güney Amerika, Asya ve Doğu Avrupa gibi coğrafi olarak dağınık bölgelerden gelen saldırganlar, ele geçirilen hesapları gerçek zamanlı olarak Google Ads aracılığıyla kötü amaçlı reklamlar ve kötü amaçlı yazılım satın alıp dağıtmak için kullanıyor.
Şimdiye Kadarki ‘En Korkunç’ Kötü Amaçlı Reklam Kampanyası
Dolandırıcılar birçok durumda başarılı görünüyor çünkü reklamlarının gösterilmesine izin veriliyor ads.google.com URL’si. Kötü amaçlı etkinliği yakın zamanda tespit eden Malwarebytes araştırmacılarına göre bu, onları yasal Google reklamlarından neredeyse ayırt edilemez kılıyor.
Malwarebytes araştırmacısı Jerome Segura, “Bu şimdiye kadar takip ettiğimiz en kötü amaçlı reklamcılık operasyonu, Google’ın işinin özüne iniyor ve muhtemelen dünya çapında binlerce müşterisini etkiliyor.” bir blog yazısında yazdı Bu hafta. “24 saat boyunca yeni olayları bildiriyoruz ve yayınlandığı sırada bile yeni olayları tespit etmeye devam ediyoruz.”
Google Reklamları işletmelerin ve bireylerin, Google’ın arama sonuçlarında, web sitelerinde, mobil uygulamalarında ve diğer çevrimiçi mülklerinde, kullanıcı arama davranışı ve ilgi alanlarına göre hedeflenen reklamlar görüntülemesine olanak tanıyan bir reklamcılık platformudur. Çoğu zaman, en iyi arama sonuçları sponsorludur; bu da birisinin bu yüksek görünürlük için para ödediği anlamına gelir. Bağlam açısından Google Arama bazı sonuçlar oluşturdu 175 milyar dolar 2023’te reklam gelirinde.
Segura’ya göre, son zamanlarda Google Arama’da reklam vermek isteyen veya Google Ads hesaplarında oturum açmak isteyen işletmelere ve bireylere yönelik Google Ads için sahte sponsorlu reklam seli yaşandı. Reklamların Google’dan geldiği anlaşılıyor ve insanların bir Google Ads hesabına kaydolmasına veya mevcut bir hesapta oturum açmasına yardımcı olduğu iddia ediliyor. Bu reklamları tıklayan kullanıcılar, sahte bir Google Ads ana sayfasına yönlendirilir ve buradan, reklamverenin Google hesaplarındaki kullanıcı adlarını ve şifreleri çalmak için özel olarak tasarlanmış harici sitelere yönlendirilirler.
Saldırganlar, yem sayfalarını barındırmak için Google’ın ücretsiz web sitesi oluşturma platformu Google Sites’ı kullanıyor. Segura’ya göre bu, reklamverenlerin reklamlarına bir URL’yi yalnızca URL’nin reklamverenin alan adıyla eşleşmesi durumunda dahil etmesine izin veren bir Google politikasını önemsiz bir şekilde atlamalarına olanak sağladığını söylediği bir taktik. “Reklama ve Google Sites sayfasına baktığımızda şunu görüyoruz: [the] kötü niyetli [ads do] Segura, sites.google.com’un ads.google.com ile aynı kök alan adlarını kullanması nedeniyle kuralı kesinlikle ihlal etmediğini söyledi. “Başka bir deyişle, bu URL’nin reklamda gösterilmesine izin veriliyor, dolayısıyla onu aynı URL’den ayırt edilemez hale getiriyor” Google LLC tarafından yayınlanan reklam.”
Google Siber Saldırıları Aktif Olarak Araştırıyor
E-postayla gönderilen bir yorumda Google sözcüsü, şirketin şu anda sorunu “aktif olarak araştırdığını” ve soruna hızlı bir çözüm bulmak için çalıştığını söyledi. Sözcü, “Bilgilerini çalmak veya onları dolandırmak amacıyla insanları kandırmayı amaçlayan reklamları açıkça yasaklıyoruz” dedi.
Bağlam olarak, sözcü şuna işaret etti: artan karmaşıklık ve kötü amaçlı reklam kampanyalarının ölçeği ve tehdit aktörlerinin aynı anda binlerce kötü amaçlı hesap oluşturduğu bilinen durumlar kötü amaçlı reklamlar dağıtmak Google mülklerinde. Bu aktörler genellikle otomasyon algılama mekanizmalarını aşmak için metin manipülasyonu gibi teknikler kullanıyor. Diğer durumlarda, Google incelemecilerine ve sistemlerine, kullanıcıların göreceği reklamlardan farklı reklamlar göstermek için gizleme taktikleri kullanırlar. “Bizim ölçeğimiz hakkında bir fikir vermek için 2023’teki uygulama çalışmalarıSözcü, “3,4 milyardan fazla reklamı kaldırdık, 5,7 milyardan fazla reklamı kısıtladık ve 5,6 milyondan fazla reklamveren hesabını askıya aldık” dedi.
Google Ads’ün Kimliğine Bürünme: Basit ve Etkili Sosyal Mühendislik
Segura, Dark Reading’e yaptığı yorumda, yeni kötü amaçlı etkinliğin en dikkate değer kısmının, Google Sites URL’lerini reklamlarla birleştirerek Google Ads markasının kimliğine bürünmek olduğunu söylüyor. Segura, “Bu, reklamların gerçek reklamlardan ayırt edilmesini inanılmaz derecede zorlaştıran basit ama etkili bir numara” diyor. İşleri daha da karmaşık hale getiren şey, kötü niyetli kişilerin genellikle güvenliği ihlal edilmiş Google Ads hesaplarını kullanarak Google Arama’ya daha da fazla sahte reklam yerleştirmesi ve bu da etkinliğin durdurulmasını zorlaştırmasıdır.
Google’ın, kötü aktörlerin bu tür kimliğe bürünme planlarını gerçekleştirmesini zorlaştırması gerektiğini söylüyor. “‘Nasıl’ sorusu daha karmaşıktır çünkü iş uygulamalarının ve mevcut güvenlik politikalarının gözden geçirilmesini gerektirir.”
Segura, Malwarebytes’in karşılaştığı her kötü amaçlı reklam olayını Google Ads ekibinin erişebileceği canlı bir izleyici aracılığıyla takip ettiğini ve raporladığını söylüyor. “Bu, yalnızca raporlama sürecini kolaylaştırmak için değil, aynı zamanda tarihsel bir kayıt tutmak açısından da bizim için yararlı bir araç oldu” diye belirtiyor. Google’ın tepkisi, Malwarebytes’in bildirdiği reklamlara karşı harekete geçmek oldu. “[But] Tehdit aktörleri sanki kampanya hiç durmamış gibi hemen geri dönebiliyor. Yakılan onlarca hesaptan bahsediyoruz ama yine de bunun süresiz olarak devam etmesine yetecek kadar hesap var.”
