- 已编辑
网络钓鱼犯罪分子瞄准投放Google广告的商家,通过假冒的Google广告开户页面来骗取商家的Google广告账户的登录凭证。
他们在Google上投放广告,冒充自己是官方的Google Ads开户地址,致使受害者被重定向到虚假的Google Ads登录页面来窃取商家的登录信息。
然后他们再兜售这种黑来的账户,同时他们也会留下一些账户,继续投放虚假广告,维持这个业务的持续无成本运转。
在Facebook盗号产业中也存在这种模式。
上图解释了网络钓鱼是如何一步一步诱使Google Ads商家掉入陷阱的。
上图中的虚假广告表面看起来就是真实的Google Ads登录地址,很难分辨。但请看虚假广告下面的真实Google Ads地址,在标题和网址前有明显的Google Ads icon,虚假广告地址则没有。
上图中,我们点开广告旁边的3个点,可以看到这则广告的商家与Google完全没有关系。
上图中的两则广告,一个是让用户注册Google Ads,一个是让用户登录Google Ads,一旦你点开网址,填上账号信息,你的账户就会被钓鱼者接管。
在不同国家的Google搜索中搜索Google Ads,存在着大量的此类广告。
那么问题来了,Google Ads有严格的规定,什么是“最终到达网址”,钓鱼者为什么能绕过这个规定?
详见本文:https://support.google.com/google-ads/answer/6080568?hl=zh-Hans&sjid=17337562941496683739-NC
Google 政策规定,着陆页与显示网址(您的广告中显示的网页)的域名必须相同。
这是用户点击广告链接跳转到的网页,完整模拟了Google Ads的官方页面,从URL中我们也可以看到这并不是Google Ads的官方网址,而是sites.google.com。
因此,这个钓鱼广告并没有违反Google的“最终到达网址”规则,sites.google.com和ads.google.com都使用了相同的根域名google.com。
同时,我们也注意到有大量用户报告了他们遇到的虚假Google Ads。
https://support.google.com/google-ads/thread/313042073/help-with-removing-a-dangerous-scam-in-google-ads?hl=en
https://www.reddit.com/r/Google_Ads/comments/1hxy8ib/google_ads_phishing_scam/?rdt=48871
https://www.reddit.com/r/phishing/comments/1gt0rfd/its_just_me_or_google_just_sponsored_a_link_to_a/
https://www.reddit.com/r/google/comments/1hl2e28/be_aware_of_fake_google_page_clicked_by_accident/
https://bsky.app/profile/curiousjfu.bsky.social/post/3lfemjggs222m
这里Veryfb对https://sites.google.com/ 做一个普及,为什么钓鱼者可以使用这个页面骗过Google的政策审核,而且还能控制用户,将他们跳转到钓鱼网页。
https://sites.google.com/ 原本是Google用来给用户做静态展示页面的工具,不一样的地方在于虽然他做出来的是静态网站页面,但却支持修改,插入js代码,这就给了钓鱼者可乘之机,他们可以用js代码来控制到访的用户跳转到哪里,从而实现了他们的钓鱼目的。