Мошенники похищают аккаунты Google Ads у рекламодателей

Дата публикации: 2025-01-16 | Источник: AdExchanger

Преступные группировки по всему миру проводят фишинговые атаки на рекламодателей.

Фишинговые атаки — это вид мошенничества, при котором злоумышленники пытаются получить личные данные пользователей: логины, пароли, номера банковских карт и другую конфиденциальную информацию. Они создают поддельные сайты, письма или сообщения, маскируя их под официальные источники — банки, популярные сервисы или коллег. Мошенники требуют срочно ввести данные, угрожая блокировкой аккаунта или обещая важную информацию. Когда пользователь поддаётся на уловку, его данные оказываются в руках злоумышленников.

Схема этой атаки проста: мошенники размещают в поисковой выдаче Google поддельные рекламные ссылки, нацеленные на рекламодателей, ищущих страницу входа в Google Ads. Получив доступ к аккаунтам, преступники используют рекламные бюджеты жертв для размещения новых фишинговых объявлений, тем самым монетизируя украденные средства.

В декабре три крупных оператора аккаунтов Google Search и Merchant Center — два агентства и один консультант — независимо сообщили AdExchanger о взломе своих систем.

Старший директор по исследованиям Malwarebytes Джером Сегура опубликовал подробный отчёт об этих мошеннических схемах. По его оценкам, жертвами стали тысячи владельцев аккаунтов Google Ads.

Основные выводы из отчёта Malwarebytes:

В статье описывается масштабная фишинговая кампания, нацеленная на пользователей Google Ads.
Преступники создают поддельные объявления, которые перенаправляют жертв на фальшивые страницы входа.
Эти страницы имитируют интерфейс Google Ads и похищают учётные данные жертв.
Похищенные аккаунты продаются на чёрных рынках или используются для новых мошеннических операций.
Основные группы злоумышленников действуют из Бразилии, Китая и Восточной Европы.
Кампания затрагивает как компании, так и индивидуальных рекламодателей по всему миру.
Взломанные аккаунты используются для распространения вредоносного ПО и проведения обманных рекламных кампаний.
Google, несмотря на многочисленные жалобы, не принимает достаточных мер для решения проблемы.

Как работает?

Схема взлома удивительно проста: мошенники создают поддельные рекламные объявления, нацеленные на запросы о входе в Google Ads или его настройке.

Многие пользователи вместо прямого перехода на сайт вводят в браузере такие запросы, как «Facebook», «ESPN fantasy» или «Google Ads», после чего кликают по первому результату в поиске.

Такой способ входа через поисковую выдачу несёт серьёзные риски.

Механизм мошенничества таков: когда сотрудник рекламного агентства ищет вход в Google Ads через поиск Google, он видит рекламное объявление с правильной ссылкой ads.google.com. Однако ссылка в объявлении ведёт на поддельную страницу входа, где пользователь вводит свои учётные данные.

Даже двухфакторная аутентификация не всегда защищает. Один из пострадавших рекламодателей рассказал AdExchanger, что получил обычный запрос на аутентификацию. Единственным подозрительным сигналом было указание входа из Бразилии, хотя система обычно точно определяет местоположение. Рекламодатель списал это на возможные сбои Wi-Fi или корпоративного VPN.

В итоге он подтвердил вход, не подозревая об опасности.

После захвата аккаунта злоумышленники действовали молниеносно: назначили себя администраторами и запустили новые рекламные кампании, которые «искусно имитировали наши собственные».

В Интернете существуют «чёрные рынки» данных — нелегальные онлайн-платформы для продажи украденной информации: логинов, паролей, номеров кредитных карт, персональных и медицинских данных. Эти площадки работают в даркнете и используют Tor для сокрытия своей деятельности.

Используя украденные бюджеты, мошенники размещали в Google объявления, распространяющие вредоносное ПО. По словам одного из источников, средства также тратились на рекламу с оплатой за клик — вероятно, на подконтрольных мошенникам сайтах. Установить точные детали невозможно, так как злоумышленники уничтожили все данные о проведённых кампаниях.

Источники отмечают высокую квалификацию хакеров в работе с Google Ads.

«Всё происходило очень быстро, — рассказал один из источников, наблюдавший за настройкой кампаний после взлома, — но действия явно демонстрировали человеческий интеллект, а не работу автоматизированной программы».

Все три источника, с которыми побеседовал AdExchanger, стали жертвами хакеров, предположительно действующих из Бразилии. По данным Сегуры из Malwarebytes, активны ещё две группировки: одна, вероятно, из Азии (Китая или Гонконга), другая — предположительно из Восточной Европы.

Бразильские хакеры уже не первый раз попадают в заголовки о масштабных рекламных мошенничествах. Читайте статью: «HUMAN обнаружил пиратскую сеть с 2.5 млрд ежедневных рекламных запросов».

Как остановить?

По сообщениям двух источников AdExchanger, вредоносные рекламные объявления продолжают распространяться через спонсируемые ссылки Google Search и на этой неделе.

«Мы категорически запрещаем рекламу, направленную на обман людей с целью кражи их информации или совершения мошенничества, — сообщили в компании Google. — Наши команды активно расследуют эту проблему и оперативно работают над её решением».

Однако слово «запрещаем» здесь неуместно — не смотря на него, эта запрещённая деятельность продолжается беспрепятственно. Мошенники успевают собрать десятки жалоб на свои фишинговые кампании до блокировки их аккаунтов.

Сегура сообщает, что его команда выявила более 50 случаев мошенничества с одним и тем же рекламным аккаунтом за несколько дней декабря. Справиться с ситуацией не удалось — она напоминала бесконечную игру в «вак-а-крот» (ситуацию, когда приходится бороться с проблемами, которые постоянно возникают в разных местах).

«Мы быстро осознали, что независимо от количества жалоб и их обработки, злоумышленники всё равно умудрялись держать хотя бы одно вредоносное объявление активным круглосуточно», — пишет он.

По словам источников AdExchanger, взломы обнаруживались их собственными системами мониторинга, а не защитой Google Ads. Более того, им приходилось неоднократно жаловаться на одни и те же скомпрометированные аккаунты и мошеннические кампании.

Что с деньгами?

Когда мошенники взламывают счета рекламных агентств или опустошают их бюджеты, встаёт закономерный вопрос: кто возместит украденные средства?

Этот вопрос становится предметом сложных переговоров между Google, агентством и рекламодателем.

С одной стороны, жертвы аферы допустили человеческую ошибку. С другой — мошенники проявили экспертное знание Google Ads и мастерски использовали поисковую систему для своих махинаций.

По словам трёх источников AdExchanger, их компании сразу предложили клиентам возместить расходы. Они ведут диалог с Google, и компания готова компенсировать затраты — при условии предоставления доказательств взлома и обязательства соблюдать определённые стандарты безопасности в будущем.

Ситуацию осложняет то, что борьба с мошенничеством в Google Ads оказывается практически невозможной.

Мошенники не просто похищают деньги с рекламных счетов. Их главная цель — использовать украденные бюджеты для распространения вредоносного ПО через мошеннические ссылки в Google Search. После установки на устройство жертвы такая программа может быть использована для создания ботнета — сети заражённых компьютеров.

По словам Сегуры, продажа учётных данных аккаунтов Google Ads — прибыльный бизнес на чёрном рынке. «Мы полагаем, что их цель — перепродать эти аккаунты на хакерских форумах, оставив часть для продолжения мошеннических кампаний».

Лучшая профилактика для рекламодателей — отказаться от использования Google Search как точки входа на портал.

Специалисты, ставшие жертвами этой уловки и поделившиеся историей с AdExchanger, признались, что регулярно использовали спонсируемые ссылки на странице поиска Google.

Почему?

«Потому что я не люблю Google. Каждый раз я заставлял Google немножко платить за то, что я вхожу в Google Ads», — говорят они.

Читайте также про безопасность в рекламе: