皮肉なことに、サイバー犯罪者は現在、Googleの検索広告を利用して、Google Adsプラットフォームの広告主の認証情報を盗むフィッシング・サイトを宣伝している。
攻撃者はGoogle検索でGoogle Adsになりすました広告を出し、潜在的な被害者をGoogle Sitesでホストされている偽のログインページにリダイレクトさせるが、Google Adsの公式ホームページのように見せかけ、アカウントへのログインを要求する。
Googleサイトがフィッシングページのホスティングに使われるのは、URL(sites.google.com)がGoogle Adsのルートドメインと一致し、完全になりすますことができるため、攻撃者が偽の広告をカモフラージュすることができるからである。

“確かに、ランディングページ(最終URL)が同じドメイン名と一致しない限り、広告にURLを表示することはできません。これは悪用やなりすましを防止するためのルールですが、回避するのは非常に簡単です。
「広告とGoogle Sitesのページを振り返ってみると、sites.google.comはads.google.comと同じルートドメインを使用しているため、この悪質な広告は厳密にはルールに違反していません。言い換えれば、このURLを広告に表示することは許可されているため、Google LLCが出した同じ広告と見分けがつかない。”
こうした攻撃の被害に遭った人や、実際に 攻撃を 見た人によると、攻撃には複数の段階があるという:
- 被害者はGoogleのアカウント情報をフィッシング・ページに入力する。
- フィッシング・キットは固有の識別子、クッキー、認証情報を収集する。
- 被害者は、通常とは異なる場所(ブラジル)からのログインを示すメールを受け取る。
- 被害者がこの試みを阻止できなかった場合、別のGmailアドレス経由でGoogle Adsアカウントに新しい管理者が追加されます。
- 脅威の主体は散財に走り、可能であれば被害者を締め出します。

これらの攻撃の背後には、ブラジルで活動する可能性が高いポルトガル語話者、香港(または中国)の広告主アカウントを使用するアジアベースの脅威行為者、そして東欧人で構成される可能性が高い第3のギャングなど、少なくとも3つのサイバー犯罪グループが存在します。
この継続的なキャンペーンを発見したMalwarebytes Labsは、犯罪者の最終的な目標は、盗んだアカウントをハッキングフォーラムで販売し、その一部を使って同じフィッシングテクニックを使った今後の攻撃を実行することだと考えています。
「これは、私たちがこれまで追跡してきた中で最も悪質な不正広告活動であり、Googleのビジネスの核心に迫るもので、おそらく世界中の何千もの顧客に影響を及ぼしている。我々は24時間体制で新たなインシデントを報告し続けているが、公開時点でも新たなインシデントを発見し続けている」とセグラは付け加えた。
「皮肉なことに、広告キャンペーンを実施している個人や企業は、広告ブロッカーを使っていない可能性が高く、このようなフィッシング詐欺に引っかかりやすくなっている。
盗まれたGoogle Adsのアカウントは、サイバー犯罪者に非常に人気があり、彼らは定期的にマルウェアや様々な詐欺をプッシュするためにGoogleの検索広告も悪用する他の攻撃の燃料としてそれらを使用しています。
「私たちは、人々の情報を盗んだり、詐欺を働いたりするために、人々を欺くことを目的とした広告を明確に禁止しています。私たちのチームはこの問題を積極的に調査し、迅速に対処しています」と、グーグルは攻撃に関する詳細を求められた際に答えた。
グーグルは2023年を通じて、2億650万件の広告を虚偽表示ポリシー違反でブロックまたは削除した。また、34億件以上の広告を削除し、57億件以上を制限し、560万件以上の広告主アカウントを停止した。
Comments