Dolandırıcılar, reklamverenlerin Google Ads hesaplarını ele geçiriyor

Yayınlanma tarihi: 2025-01-16 | Kaynak: AdExchanger

Reklamverenlere yönelik kimlik avı saldırıları tüm dünyada suç grupları tarafından gerçekleştirilmektedir.

Kimlik avı saldırıları — dolandırıcıların kullanıcıların oturum açma bilgileri, şifreler, banka kartı numaraları gibi kişisel bilgilerini ele geçirmeye çalıştığı bir dolandırıcılık türüdür. Bu kişiler sahte web siteleri, e-postalar veya mesajlar oluşturur ve bunları resmi kaynaklar gibi gösterir — bankalar, popüler hizmetler veya iş arkadaşları. Dolandırıcılar, hesapların kilitleneceği veya önemli bilgiler vaat edildiği gibi tehditlerle kullanıcıları hızlıca bilgilerini girmeye zorlar. Kullanıcı tuzağa düştüğünde, bilgileri dolandırıcıların eline geçer.

Bu saldırının yöntemi oldukça basit: Dolandırıcılar, Google arama sonuçlarında Google Ads giriş sayfasını arayan reklamverenleri hedefleyen sahte reklam bağlantıları yerleştirir. Hesaplara erişim sağladıktan sonra suçlular, kurbanlarının reklam bütçelerini yeni kimlik avı reklamları yerleştirerek kullanır ve bu yolla çalınan parayı paraya dönüştürür.

Aralık ayında üç büyük Google Search ve Merchant Center hesap yöneticisi — iki ajans ve bir danışman — bağımsız olarak sistemlerinin hacklendiğini AdExchanger'a bildirdi.

Malwarebytes araştırma direktörü Jérôme Segura, bu dolandırıcılık yöntemleri hakkında ayrıntılı bir rapor yayımladı. Segura'ya göre, binlerce Google Ads hesabı sahibi bu dolandırıcılıkların kurbanı oldu.

Malwarebytes raporunun önemli bulguları:

Raporda Google Ads kullanıcılarını hedef alan geniş çaplı bir kimlik avı kampanyası tanımlanıyor.
Suçlular, kurbanları sahte giriş sayfalarına yönlendiren sahte reklamlar oluşturuyor.
Bu sayfalar, Google Ads arayüzünü taklit ederek kurbanların kimlik bilgilerini çalıyor.
Çalınan hesaplar karaborsada satılıyor veya yeni dolandırıcılık operasyonlarında kullanılıyor.
Suç çetelerinin ana merkezleri Brezilya, Çin ve Doğu Avrupa'da bulunuyor.
Kampanya hem şirketleri hem de bireysel reklamverenleri dünya çapında etkiliyor.
Ele geçirilen hesaplar, kötü amaçlı yazılım yaymak ve sahte reklam kampanyaları düzenlemek için kullanılıyor.
Google, çok sayıda şikayete rağmen bu sorunu çözmek için yeterli önlemi almıyor.

Nasıl çalışıyor?

Bu hack yöntemi şaşırtıcı derecede basittir: dolandırıcılar, Google Ads veya onun yapılandırmasıyla ilgili sorguları hedef alan sahte reklamlar oluşturur.

Pek çok kullanıcı doğrudan siteye gitmek yerine, tarayıcılarına "Facebook", "ESPN fantasy" veya "Google Ads" gibi sorgular yazarak Google arama sonuçlarına tıklar.

Arama sonuçları üzerinden giriş yapmak ciddi riskler taşır.

Mekanizma şu şekilde işler: Bir reklam ajansı çalışanı, Google Ads girişini Google arama yoluyla bulmaya çalıştığında, "ads.google.com" adresini içeren doğru bir bağlantıyı gösteren bir reklam görür. Ancak, bu bağlantı aslında kullanıcıyı sahte bir giriş sayfasına yönlendirir. Kullanıcı bu sayfaya kimlik bilgilerini girdiğinde dolandırıcıların eline geçer.

İki faktörlü kimlik doğrulama bile her zaman koruma sağlayamayabilir. Bir reklamveren, AdExchanger’a, standart bir doğrulama talebi aldığını söyledi. Tek şüpheli işaret, girişin Brezilya'dan yapıldığına dair bir bildirimdi, ancak sistem genellikle konumları doğru şekilde belirtiyordu. Reklamveren, bunu Wi-Fi hatalarına veya şirket VPN'ine bağladı ve durumu önemsemedi.

Sonuç olarak, giriş talebini onayladı ve tehlikenin farkına varmadı.

Hesap ele geçirildikten sonra suçlular hızlı bir şekilde hareket etti: Kendilerini yönetici olarak atadılar ve "bizimkilerle birebir aynı olan" yeni reklam kampanyaları başlattılar.

İnternette, karanlık ağda kişisel verilerin satıldığı “karaborsa” veri platformları bulunmaktadır. Bu platformlarda çalınan giriş bilgileri, şifreler, kredi kartı numaraları ve diğer hassas bilgiler alınıp satılmaktadır. Bu platformlar Tor gibi araçlar kullanılarak faaliyetlerini gizli tutar.

Dolandırıcılar, çalınan bütçelerle Google üzerinden kötü amaçlı yazılımlar yaymak için reklam kampanyaları oluşturdu. Bir kaynağa göre, bu bütçeler tıklama başına ödeme yapılan reklamlara harcandı — muhtemelen dolandırıcıların kontrolündeki sitelerde. Detayları tespit etmek imkansızdı, çünkü suçlular tüm kampanya verilerini yok etmişti.

Kaynaklar, hackerların Google Ads'i kullanmadaki uzmanlıklarını vurguladı.

«Her şey çok hızlı gerçekleşti, ancak yapılan işlemler açıkça otomatik bir program yerine insan zekasını yansıtıyordu,» diye bir kaynak belirtti.

AdExchanger ile konuşan üç kaynak, Brezilya'dan faaliyet gösterdiği düşünülen hacker gruplarının kurbanı oldu. Malwarebytes'ten Segura, ayrıca Asya (Çin veya Hong Kong) ve Doğu Avrupa’dan aktif iki başka grubun olduğunu belirtti.

Brezilyalı hackerlar, büyük çaplı reklam dolandırıcılıklarıyla ilgili haberlerde sık sık yer alıyor. Daha fazlası için şu makaleyi okuyun: «HUMAN, 2.5 milyar günlük reklam talebine sahip korsan bir ağ keşfetti».

Nasıl durdurulabilir?

AdExchanger’a konuşan iki kaynağa göre, zararlı reklamlar Google Arama'nın sponsorlu bağlantıları üzerinden bu hafta da yayılmaya devam ediyor.

«İnsanları aldatmak ve bilgilerini çalmak amacıyla yapılan reklamları kesinlikle yasaklıyoruz,» diye bir Google sözcüsü bildirdi. «Ekiplerimiz bu sorunu aktif olarak araştırıyor ve çözüm bulmak için hızlı bir şekilde çalışıyor.»

Ancak, “yasaklıyoruz” ifadesi burada yetersiz kalıyor. Bu yasaklı faaliyetler, hesapları kapatılmadan önce onlarca şikayet toplayarak kesintisiz bir şekilde devam ediyor.

Segura, ekibinin Aralık ayında aynı reklam hesabını içeren 50’den fazla dolandırıcılık vakası tespit ettiğini belirtti. Ancak bu durum bir tür “köstebek oyunu”na (bir sorun bastırıldığında yenisinin ortaya çıktığı durum) dönüştü ve tam olarak kontrol altına alınamadı.

«Hızla fark ettik ki, şikayetlerin işleme alınması ne kadar hızlı olursa olsun, dolandırıcılar her zaman en az bir zararlı reklamı 24 saat boyunca aktif tutmayı başarıyordu,» diye belirtti Segura.

AdExchanger kaynaklarına göre, bu tür hacklemeler genellikle Google Ads korumaları yerine kendi izleme sistemleri sayesinde tespit edildi. Dahası, aynı ele geçirilmiş hesaplar ve dolandırıcılık kampanyaları için defalarca şikayette bulunmak zorunda kaldılar.

Para Sorunu

Dolandırıcılar reklam ajanslarının hesaplarını ele geçirip bütçelerini tükettiğinde, akla gelen ilk soru şudur: Çalınan parayı kim karşılayacak?

Bu soru, Google, ajans ve reklamveren arasında karmaşık müzakerelere yol açıyor.

Bir yandan, dolandırıcılık mağdurları insani bir hata yapmış olabilir. Ancak diğer yandan, dolandırıcılar Google Ads’i detaylı bir şekilde öğrenmiş ve arama motorunu kendi lehlerine kullanmada oldukça ustalar.

AdExchanger’a konuşan üç kaynağa göre, şirketleri hemen müşterilere zararlarını tazmin etmeyi teklif etti. Google ile görüşmeler sürüyor ve şirket, saldırıya uğradığını kanıtlayan ve gelecekte belirli güvenlik standartlarını uygulama taahhüdünde bulunan işletmelere maliyetleri karşılamayı teklif etti.

Sorunu daha da karmaşıklaştıran şey, Google Ads üzerindeki dolandırıcılıkla mücadelenin neredeyse imkansız olmasıdır.

Dolandırıcılar sadece reklam hesaplarından para çalmakla kalmıyor. Asıl amaçları, Google Arama'daki zararlı bağlantılar aracılığıyla kötü amaçlı yazılımlar yaymak. Kurbanın cihazına bulaşan bu yazılım, bir botnet (zarar görmüş cihazlardan oluşan bir ağ) oluşturmak için kullanılabiliyor.

Segura’ya göre, Google Ads hesaplarının kimlik bilgilerini satmak, karaborsada karlı bir iş. «Bu hesapları hacker forumlarında yeniden satmayı ve bir kısmını dolandırıcılık kampanyalarını sürdürmek için kullanmayı amaçladıklarını düşünüyoruz.»

Reklamverenler için en iyi önleme yöntemi, Google Arama'yı bir giriş noktası olarak kullanmayı bırakmaktır.

Bu tuzağa düşen ve hikayesini AdExchanger ile paylaşan uzmanlar, Google’ın arama sayfasındaki sponsorlu bağlantıları düzenli olarak kullandıklarını itiraf etti.

Peki neden?

«Çünkü Google’ı sevmiyorum. Her seferinde Google’ın bana Google Ads'e giriş yapmam için biraz ödeme yapmasını sağladım,» dediler.

Reklam güvenliği hakkında daha fazla bilgi için şu makalelere göz atın: