Злоумышленники продвигают фишинговые копии легитимных сайтов через рекламу в Google, охотясь за бизнес-аккаунтами и данными компаний. В то время как одни люди помнят адреса часто используемых сайтов и набирают их по памяти или сохраняют закладки, другие каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads
Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 5 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
Поддельные страницы Semrush
Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое. Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
Отличить фишинговые страницы от оригинала можно только по адресу. Как и в случае с настоящей формой входа в Semrush, на поддельных страницах предлагается два основных способа аутентификации: войти через Google-аккаунт или же ввести логин и пароль непосредственно от Semrush. Однако при этом злоумышленники заботливо заблокировали поля для ввода учетных данных второй опции. Таким образом, жертвам ничего больше не оставалось, кроме как выбирать вариант аутентификации с помощью Google. Далее открывалась следующая поддельная страница, не менее убедительно имитирующая вход с Google-аккаунтом. Разумеется, введенные на ней данные учетной записи Google попадали напрямую в руки злоумышленников.
Фальшивый Google Ads в рекламе Google Ads
Еще интереснее выглядит вариант той же атаки, в ходе которой преступники использовали Google Ads для продвижения фальшивых версий… самого Google Ads. Ее механизм весьма похож на вышеописанную охоту за учетными данными Semrush, за исключением одной крайне интересной детали — отображаемое в рекламном блоке доменное имя поддельной версии Google Ads полностью совпадает с копируемым оригиналом (ads.google[.]com).
Преступники смогли добиться этого с помощью использования другого сервиса Google — платформы для создания сайтов Google Sites. Согласно правилам Google Ads, на рекламном объявлении может быть размещен адрес любой страницы, при условии что ее домен совпадает с доменом конечного сайта, на который ведет ссылка из данного объявления. Соответственно, если злоумышленник создает промежуточный сайт при помощи Google Sites, то он имеет доменный адрес google.com, а значит, в объявлении можно демонстрировать ads.google.com. Ссылки с промежуточного сайта ведут дальше, на страницу, имитирующую механизм входа в аккаунт Google Ads. В случае если жертва атаки не замечает того, что в этот момент покидает страницы, принадлежащие Google, и вводит свои учетные данные, они попадают прямиком в руки преступников.
Как защитить компанию от фишинга
Глобально проблему с продвижением вредоносных сайтов через Google Ads может решить только сама Google. Впрочем, следует отметить, что в обоих описанных случаях — как с рекламой поддельной страницы Google Ads, так и с рекламой фальшивых сайтов Semrush — сервис достаточно быстро принял меры и перестал выдавать их в первых строках поиска.
Чтобы обеспечить безопасность вашей организации и защиту от подобных фишинговых кампаний рекомендуется следующее:
Напоминать сотрудникам, что часто используемые сайты лучше всего вносить в закладки, а не полагаться каждый раз на поисковые сервисы
Обучать сотрудников распознавать потенциальные угрозы
Обязательно использовать многофакторную аутентификацию во всех сервисах, которые позволяют это делать. В случае Google-аккаунтов лучше всего использовать так называемые ключи доступа
Установите надежную защиту на все корпоративные устройства — она вовремя предупредит об опасности и заблокирует переход на подозрительный сайт
По материалам Касперский