暗号取引プラットフォーム「Whales Market」の合法的に見えるGoogle検索広告が、訪問者を全資産を盗むウォレット流出フィッシング・サイトにリダイレクトさせる。
Whales Marketは分散型OTC取引プラットフォームで、ユーザーはブロックチェーン間で資産を交換することができる。
今日、グーグルの検索結果にこの取引プラットフォームのフィッシング広告が掲載されているとの連絡があった。
GoogleでWhales Marketを検索すると、検索結果の上部にスポンサー広告が表示され、サイトの正当なURLのようなものが表示された。Bingのテストでは、この広告は表示されなかった。
広告にはwww.whales.market。これは有効なホスト名ではないが、whales.marketの正しいドメインである。また、広告の上にカーソルを置くと、以下のように、リンクが正しいURL https://whales.market。
のWhales Marketフィッシング広告:
しかし、リンクをクリックすると、ユーザーは一連のサイトを経由してリダイレクトされ、最終的にフィッシング・サイトhttps://app.whaless[.]market/にたどり着きます。このサイトのドメインには、whalesという単語に余分なsがついていることに注意。
このフィッシング・サイトは、取引プラットフォームを含め、正規のウェブサイトを複製しています。しかし、いったんウォレットに接続すると、悪意のあるスクリプトがウォレットからすべての資産を抜き取ります。
ソースは こちら:
あなたのウォレットをWeb3のウェブサイトに接続する前に、ブラウザのアドレスバーに表示されるドメインをチェックすることは、それが合法的なサイトであるかどうかを判断するために非常に重要です。
少しでもおかしいと思うサイトがあったら、ウォレットを接続しないこと。
リダイレクトを使って広告プラットフォームを騙す
マルウェアを配布したり、ユーザーをフィッシング・サイトや テクニカル・サポート詐欺にリダイレクトさせたりするために、脅威行為者は何年も前からグーグル広告を悪用してきた。
ほとんどの広告は、なりすましプラットフォームと類似したドメインを利用していますが、通常はタイプミスや余分なダッシュが含まれているため、簡単に見破ることができます。また、正規のドメインに似せようともせず、誰かが誤って広告をクリックすることを願うだけの広告もある。
さらに問題なのは、Whales Marketの広告のように、なりすましたプラットフォームの正規のURLを表示する広告だ。正規のGoogle広告になりすまされた他のブランドには、Keepass、Home Depot、Amazon、eBay、さらにはGoogle自身の所有物であるYouTubeなどがある。
攻撃者は、訪問者のIPアドレスやブラウザのユーザーエージェントに基づいて異なるサイトにリダイレクトすることで、このような正規の広告を作成することができる。
このような悪意のある広告が作成されると、グーグルやマイクロソフトの検索ボットは広告のクリックURLを訪れ、サイトを確認する。しかし、脅威行為者のサイトが、既知のグーグルやマイクロソフトのユーザーエージェントやIPアドレスを使用している訪問者を検出すると、宣伝している正規のウェブサイトにリクエストをリダイレクトする。
広告プラットフォームは、最終的なランディングページを正規のサイトと見なすため、そのURLを広告に表示することを許可する。
しかし、一般の訪問者がこれらの広告をクリックすると、代わりにマルウェア、フィッシング攻撃、詐欺を宣伝する悪質なサイトにリダイレクトされる。
この方法は何年も機能してきたが、グーグルはこの種の広告が隙間をすり抜けて承認されるのを防ぐことができていない。
悪質な広告の影響を受けているのはグーグルだけではなく、マイクロソフトや Xの広告プラットフォームでも同様の手法が使われている。
悪質なWhales Marketの広告について、また今後このような広告を積極的に防止する方法についてGoogleに問い合わせたが、現時点では回答は得られていない。
Comments