İronik bir şekilde, siber suçlular artık reklamverenlerin Google Ads platformuna ilişkin kimlik bilgilerini çalan kimlik avı sitelerini tanıtmak için Google arama reklamlarını kullanıyor.
Saldırganlar, Google Arama’da Google Ads’ün kimliğine bürünen, potansiyel kurbanları Google Sites’ta barındırılan sahte giriş sayfalarına yönlendiren sponsorlu sonuçlar olarak gösterilen, ancak hesaplarına giriş yapmalarının istendiği resmi Google Ads ana sayfasına benzeyen reklamlar yayınlıyor.
Google Sites, kimlik avı sayfalarını barındırmak için kullanılır çünkü URL’nin (sites.google.com) tam kimliğe bürünme için Google Ads’ün kök alanıyla eşleşmesi koşuluyla saldırganların sahte reklamlarını kamufle etmelerine olanak tanır.
“Aslında, açılış sayfanız (nihai URL) aynı alan adıyla eşleşmediği sürece bir reklamda URL gösteremezsiniz. Bu, kötüye kullanımı ve kimliğe bürünmeyi korumayı amaçlayan bir kural olsa da, aşılması çok kolay bir kuraldır” dedi. Jérôme Segura, Malwarebytes Kıdemli Araştırma Direktörü.
“Reklama ve Google Sites sayfasına dönüp baktığımızda, sites.google.com’un ads.google.com ile aynı kök alan adlarını kullanması nedeniyle bu kötü amaçlı reklamın kuralı kesinlikle ihlal etmediğini görüyoruz. Başka bir deyişle, buna izin veriliyor: bu URL’yi reklamda gösterin, böylece Google LLC tarafından yayınlanan aynı reklamdan ayırt edilemez hale gelin.”
Bu saldırılara maruz kalan ya da saldırıyı canlı gören kişilere göre saldırılar birden fazla aşamadan oluşuyor:
- Kurban, Google hesap bilgilerini kimlik avı sayfasına girer.
- Kimlik avı kiti benzersiz tanımlayıcıları, çerezleri ve kimlik bilgilerini toplar.
- Mağdur alışılmadık bir yerden (Brezilya) giriş yapıldığını belirten bir e-posta alabilir.
- Eğer mağdur bu girişimi durduramazsa Google Ads hesabına farklı bir Gmail adresi üzerinden yeni bir yönetici ekleniyor.
- Tehdit aktörü harcama çılgınlığına giriyor ve eğer yapabilirlerse kurbanları dışarıda bırakıyor
Bu saldırıların arkasında en az üç siber suç grubu yer alıyor; bunlar arasında büyük olasılıkla Brezilya dışında faaliyet gösteren Portekizce konuşanlar, Hong Kong’dan (veya Çin’den) reklamveren hesaplarını kullanan Asya merkezli tehdit aktörleri ve muhtemelen Doğu Avrupalılardan oluşan üçüncü bir çete yer alıyor.
Devam eden bu kampanyayı tespit eden Malwarebytes Labs, suçluların nihai hedefinin çalınan hesapları hack forumlarında satmak ve bazılarını aynı kimlik avı tekniklerini kullanarak gelecekteki saldırıları gerçekleştirmek için kullanmak olduğuna inanıyor.
“Bu, Google’ın işinin özüne inen ve muhtemelen dünya çapındaki binlerce müşterisini etkileyen, şimdiye kadar takip ettiğimiz en berbat kötü amaçlı reklamcılık operasyonu. Günün her saatinde yeni vakalar rapor ediyoruz ve yine de yeni vakaları tespit etmeye devam ediyoruz, hatta olay gerçekleştiğinde bile.” yayın,” diye ekledi Segura.
“İroniktir ki, reklam kampanyaları yürüten bireylerin ve işletmelerin (kendi reklamlarını ve rakiplerinin reklamlarını görmek için) bir reklam engelleyici kullanmamaları oldukça olasıdır, bu da onları bu kimlik avı planlarına düşmeye daha yatkın hale getiriyor.”
Çalınan Google Ads hesapları, kötü amaçlı yazılımları ve çeşitli dolandırıcılıkları teşvik etmek için Google arama reklamlarını kötüye kullanan diğer saldırılarda düzenli olarak yakıt olarak kullanan siber suçlular tarafından oldukça aranıyor.
Google, BleepingComputer’a saldırılarla ilgili daha fazla ayrıntı vermesi istendiğinde, “Bilgilerini çalmak veya onları dolandırmak amacıyla insanları aldatmayı amaçlayan reklamları açıkça yasaklıyoruz. Ekiplerimiz bu sorunu aktif olarak araştırıyor ve bu sorunu çözmek için hızlı bir şekilde çalışıyor.” dedi.
Google ayrıca 2023 yılı boyunca Yanlış Beyan Politikasını ihlal ettiği için 206,5 milyon reklamı engelledi veya kaldırdı. Ayrıca 3,4 milyardan fazla reklam kaldırıldı, 5,7 milyardan fazlası kısıtlandı ve 5,6 milyondan fazla reklamveren hesabı askıya alındı.