Bu blog yazısı ile birlikte yazıldı Elie Berreby, kıdemli SEO stratejisti
Suçlular, devam eden kötü amaçlı yazılım kampanyalarının bir parçası olarak kullanabilecekleri çevrimiçi pazarlama ve reklam araçlarıyla çok ilgileniyorlar.
Özellikle, daha önce yeni kötü niyetli reklamlar oluşturmak için Google Reklamveren hesaplarının nasıl ele geçirilebileceğini ve daha ödün verilen hesaplara yol açan kısır bir döngüyü sürdürebileceğini daha önce detaylandırmıştık.
Araştırmalarımızın bir parçası olarak, diğer şeylerin yanı sıra SEO, reklam ve pazar araştırması sunan bir görünürlük yönetimi SaaS platformu olan Semrush’dan sonra yeni bir operasyon ortaya çıkardık.
Fortune 500 şirketlerinin% 40’ı ve Semrush’a güvenen 117.000 ücretli müşteriyle platform, çevrimiçi suçlular için oldukça çekici bir hedef sunuyor.
Bu blog yazısında, dolandırıcıların Google reklamverenlerini hacklemek için nasıl dolaylı bir yaklaşım benimsediğini ve aynı jetonun muhtemelen semrush hesaplarına erişim kazandığını detaylandırıyoruz.
Kötü niyetli reklamları Google’da özenle bildirdik. Bu yazıdaki Semrush veya platformu ile herhangi bir güvenlik açığı veya veri ihlaline atıfta bulunmadığımızı vurgulamak istiyoruz. Artan popülaritesi nedeniyle sadece hedefleniyorlar.
Google Reklam Mürettebatı Pivots
Ocak ayında, Google reklamları aracılığıyla Google Reklamları aracılığıyla Google Sitelerini kötüye kullanan çok özel bir teknik kullanarak hedefleyen büyük bir kimlik avı kampanyasını belgeledik.
Arkasındaki suçluların muhtemelen daha az doğrudan bir yaklaşıma geçtiğine ve aynı zamanda bir yaklaşıma geçtiklerine inanıyoruz.
Bu geçişi, Semrush için hileli bir giriş sayfasına garip bir şekilde yönlendiren “Google Reklamları” için kötü niyetli bir reklamla gözlemledik. Kimlik avı sayfası Semrush markasını kullanırken, yalnızca “Google ile Giriş” seçeneği etkinleştirilir ve kurbanları Google Hesap Kullanıcı Adı ve Şifreleri ile kimlik doğrulamaya zorlar.
Semrush Kimlik Yardım Kampanyası
Bir gün sonra, kampanya, Google reklamları ile birlikte “Google Reklamlar” markasından tamamen uzaklaşmaya devam ediyordu.
Bu yeni dalga için altyapı yakın zamanda dağıtıldı ve bunun için kayıtlı alan adları semrush adındaki varyasyonlardır.
Her reklam, sahte Semrush ve Google Hesap Oturum Açma sayfalarına adanmış daha statik alanlara yönlendiren benzersiz bir etki alanı adı kullanır.
Bir kez daha, buradaki açılış sayfası iki farklı giriş türü gösterir, ancak yalnızca Google yöntemi etkinleştirilir. Bunun, tehdit aktörlerinin öncelikle Google hesaplarını hasat etmekle ilgilendiği olduğuna inanıyoruz.
Bu, bu kimlik bilgilerini suçlulara gönderen Google için kötü amaçlı oturum açma sayfası ile doğrulanır. Bu sayfaya gelen kurbanların, buraya gelmek için aldıkları yol göz önüne alındığında büyük olasılıkla semrush kullanıcıları olduğunu belirtmeliyiz.
Google Analytics ve Arama Konsolu Veri Hırsızlığı
Feragatname: Aşağıdakiler gerçek bir uzlaşmadan alınmaz, daha ziyade değerli bir Google hesabı için kimlik bilgilerine sahip olmanın önemini ve kapsamını göstermek içindir.
Google Analytics (GA) ve Google Arama Konsolu (GSC), işletmeler için kritik ve gizli bilgiler içerir, web sitesi performansı, kullanıcı davranış kalıpları ve stratejik iş odakları hakkında ayrıntılı bakış açıları açıklar.
Bir Google hesabı tehlikeye atılırsa, kötü amaçlı aktörler ham verilere SEMRUSH’a giriş yapmadan doğrudan erişebilir.
GA’daki e-ticaret takibi, kanala göre gelir, işlem hacimleri, ortalama sipariş değerleri ve dönüşüm oranlarını gösterir (organik arama, ücretli reklamlar).
İşte büyük bir ABD şehrinde niş bir kitleye ürün satan yerel bir dükkan.
Kötü niyetli aktörler Google Analytics hesabına eriştiğinde, yayıncıya ait bir dizi gizli bilgi görebilirler. Şirketler için bu, finansal performansa doğrudan bir göz atıyor.
Aşağıdaki GSC hesabı Semrush’a bağlanmıştır. GSC’de, kötü aktörler, arama sorguları, sayfalar, ülkeler, cihazlar, arama görünümü ve tarihler dahil ancak bunlarla sınırlı olmamak üzere son 16 ay boyunca geçmiş verileri görebiliyorlar.
Semrush dolandırıcılığı ve mızrak aktı
Feragatname: Benzer şekilde, aşağıdaki ekran görüntüleri gerçek bir uzlaşmadan alınmadı, ancak Google ve Semrush hesapları arasındaki bağlantıyı vurguladı.
Daha önce de belirtildiği gibi, Google Analytics ve Google arama konsolu verileri genellikle geliştirilmiş analiz için Semrush gibi araçlarla entegre edilmiştir.
Yeni projeler için SaaS platformu, Semrush’ın GA ve GSC verilerini görmesine ve indirmesine izin vermek için bir Google hesabından doğrulama ister.
Bu yapıldıktan sonra, Google hesabına doğrudan erişmeden doğrudan Google Arama Konsolu’ndan (GSC) gelen davranışsal verileri ve KPI’ları dışa aktarabiliriz.
Bir tehdit oyuncusunun bir kişiyi veya işletmeyi taklit etmek için kullanabileceği bir semrush hesabında (isim, telefon, işletme adı, adres, e -posta ve vize kartının son 4 hanesinde) depolanan ek bilgiler vardır.
İşletme olarak poz veren bir tehdit oyuncusu, satıcıları veya ortakları hileli hesaplara ödeme göndermeye alıp, işletmenin kimliğine bağlı güveni sömürebilir.
Faturalandırma bilgileri ve kart detaylarının kombinasyonu daha kapsamlı bir saldırı yapmak için kullanılabilir. Semrush desteği olarak poz veren, yaklaşan bir ödemeye veya faturalandırma güncelleme sürecine atıfta bulunan biri, kurbanı tam kredi kartı detayları sağlamaya kandırabilir.
Çözüm
Marka kimliğine bürünme, değerli hesap kimlik bilgilerine erişmek için çevrimiçi suçlular tarafından kullanılan popüler bir saldırı vektörü olmaya devam etmektedir.
Google Search, SEO ve reklam ekosistemlerinin merkezi bir parçası olduğundan, kötü niyetli bir reklamı yanlışlıkla tıklayan bireyler ve işletmeler, son derece hassas verileri kaybetme ve sahtekarlığın birçok seviyedeki etkisini hissetme riski altındadır.
Bu, kendileri veya bir şirket için bir hesabı yöneten herkese koruyucu rayları uygulayarak bu şekilde maruz kalmayı önlemek için adımlar atmak için bir uyandırma çağrısı olmalıdır.
Bir MalwareBytes müşterisiyseniz, bu kampanyada kullanılan kötü amaçlı reklamlara ve sitelere karşı zaten korunuyorsunuz. Tüm bu olaylar da doğrudan Google’a bildirilmiştir.
Silent Push’taki insanlara, platformlarına erişim sağladıkları için teşekkür etmek istiyoruz ve ek altyapı ortaya çıkarmamızı sağlıyor.
Kötü niyetli Semrush alanları
adsense-word[.]com
auth[.]semrush[.]help
sem-russhh[.]com
sem-rushhh[.]com
sem-rushh[.]com
semrush[.]click
semrussh[.]sbs
semrush[.]tech
seemruush[.]com
semrush-auth[.]com
auth.seem-rush[.]com
ads-semrush[.]com
semrush-pro[.]co
semrush-pro[.]click
auth.sem-ruush[.]com
semrush[.]works
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.