Malwarebytes Labs安全研究人员披露近期一场针对Google Ads广告主的大规模钓鱼攻击,攻击者借由恶意假冒Google Ads的广告,成功窃取多个广告账户的登录凭证,并利用被盗账户挪用广告预算,进一步扩大其恶意活动范围。
该广告攻击行动之所以受到瞩目,研究人员指出,评估攻击的规模与精密程度,这场攻击是目前关注到最具破坏力的恶意广告行动,同时也暴露出全球数字广告生态系的脆弱性。
根据安全研究人员的调查,这些恶意广告伪装为Google Ads服务的官方广告,出现在Google搜索结果中的赞助广告字段,诱使用户点击并进入假登录页面。假登录页面大多托管于Google Sites,利用与Google官方网站类似的域名设计来诱骗受害者,进而绕过广告显示URL与最终URL域名必须相符的规定。
一旦受害者在假页面中输入账户凭证,攻击者便可取得账户的完整控制权,进而更改账户设置,甚至将自己的电子邮件地址添加为账户管理员。
攻击背后涉及至少三个不同的犯罪团体,分别来自巴西、亚洲以及东欧。恶意攻击者利用各种技术,包括浏览器指纹识别与流量过滤,来筛选目标并收集详细的受害者资讯。一些被盗的广告账户原本就已在运行大量合法广告,攻击者窃取后,直接挪用这些账户的广告预算来投放更多假广告,让攻击范围进一步扩大。
受影响的广告主遍及全球,包括个人与企业,甚至台湾知名电子公司也成为攻击目标。针对这些问题,Google的应对措施备受质疑。研究人员指出,尽管多次向Google举报钓鱼假广告,许多恶意广告仍活跃于搜索结果中。一些恶意广告主在被多次举报后仍未被彻底移除,显示出Google在账户安全与广告滥用管理机制中的执行效率不足,对广告生态系的信任度构成挑战。
研究人员建议广告主提高警觉,避免直接点击搜索结果中的广告,而应通过Google的官方网站登录或操作广告账户。此外,加强双重验证等安全措施也有助于降低账户被盗风险。
