Google Arama Reklamları ve Google Ads Hesapları Çalındı
Siber suçlular, Google Arama reklamlarını kullanarak Google Ads hesaplarını çalmayı hedefleyen phishing saldırıları düzenliyor. Bu saldırılar, sahte giriş sayfalarına yönlendirilen kullanıcılardan kimlik bilgilerini çalmaktadır.
Siber suçlular, şimdi ise Google arama reklamlarını kullanarak, Google Ads platformu için reklamverenlerin kimlik bilgilerini çalmaya yönelik phishing siteleri tanıtıyorlar.
Saldırganlar, Google Arama'da Google Ads’i taklit eden reklamlar yayımlayarak, potansiyel mağdurları, Google Sites üzerinde barındırılan ve Google Ads'in resmi giriş sayfasına benzeyen sahte bir giriş sayfasına yönlendiriyorlar. Burada, kullanıcılar hesaplarına giriş yapmaları için isteniyor.
Google Sites, phishing sayfalarını barındırmak için kullanılıyor çünkü bu, saldırganların sahte reklamlarını gizlemelerine olanak tanıyor. Zira URL (sites.google.com), Google Ads’in ana etki alanıyla uyuşuyor ve tam bir taklit sağlıyor.
(Sahte Google Reklamı)
Malwarebytes'ten Araştırma Direktörü Jérôme Segura, "Gerçekten de, bir reklamda URL’yi gösteremezsiniz, eğer yönlendirilen sayfa (son URL) aynı etki alanına sahip değilse. Bu, kötüye kullanım ve taklitçiliği engellemeye yönelik bir kuraldır, fakat kolayca aşılabilir" diyor.
"Reklama ve Google Sites sayfasına bakıldığında, kötü amaçlı reklamın aslında kuralı ihlal etmediğini görüyoruz, çünkü sites.google.com, ads.google.com ile aynı ana etki alanını kullanıyor. Yani, bu URL'yi reklamda göstermek serbesttir, bu da onu Google LLC tarafından yayımlanmış aynı reklamlardan ayırt edilemez kılar."
Bu saldırılara uğrayan ya da bunlara tanık olan kişilere göre, saldırılar birkaç aşamadan oluşuyor:
- Mağdur, Google hesap bilgilerini phishing sayfasına giriyor.
- Phishing aracı, benzersiz tanımlayıcıları, çerezleri ve kimlik bilgilerini topluyor.
- Mağdur, olağandışı bir yerden (Brezilya) giriş olduğu bilgisiyle bir e-posta alabilir.
- Eğer mağdur bu denemeyi durdurmazsa, farklı bir Gmail adresi üzerinden Google Ads hesabına yeni bir yönetici ekleniyor.
- Saldırgan, harcama yapmaya başlar ve mağdurları kilitlemeye çalışır.
(Saldırı Akışı)
En az üç siber suç grubu bu saldırıların arkasında, bunlar arasında Brezilya’da faaliyet gösteren Portekizce konuşan gruplar, Hong Kong (veya Çin) kökenli reklamveren hesaplarını kullanan Asya merkezli tehdit aktörleri ve muhtemelen Doğu Avrupa’dan bir üçüncü grup yer alıyor.
Bu süregeldiği tespit edilen kampanyayı fark eden Malwarebytes Labs, suçluların nihai hedefinin çalınan hesapları hacker forumlarında satmak ve bazılarından, aynı phishing tekniklerini kullanarak gelecekteki saldırılar gerçekleştirmek olduğunu düşünüyor.
Segura, "Bu, izlediğimiz en aşırı malvertising operasyonu; Google’ın işleyişinin özüne iniyor ve dünya çapında binlerce müşterilerini etkileyebilir. Sürekli yeni olaylar bildiriyoruz ve hala yenilerini tespit ediyoruz, bu yazı yayımlandığı anda bile" dedi.
"İronik olarak, reklam kampanyası yürüten bireylerin ve işletmelerin reklam engelleyici kullanmıyor olmaları muhtemeldir (reklamlarını ve rakiplerinin reklamlarını görmek için), bu da onları bu phishing dolandırıcılıklarına daha yatkın hale getiriyor."
Çalınan Google Ads hesapları, siber suçlular tarafından oldukça rağbet görmekte, çünkü bunlar diğer saldırılarda da kullanılarak, Google arama reklamlarıyla kötü amaçlı yazılım ve çeşitli dolandırıcılıkları yaymak için yakından kullanılıyor.
Google, BleepingComputer'a verdiği yanıtta, "İnsanları aldatmayı ve bilgilerini çalmayı amaçlayan reklamlara kesinlikle izin vermiyoruz. Ekiplerimiz bu sorunu aktif bir şekilde araştırıyor ve hızlı bir şekilde çözmek için çalışıyorlar" dedi.
2023 yılı boyunca Google, yanıltıcı reklamlarla ilgili Politika İhlali nedeniyle 206,5 milyon reklamı engelledi ya da kaldırdı. Ayrıca 3,4 milyar reklamı kaldırdı, 5,7 milyar reklamı kısıtladı ve 5,6 milyon reklamveren hesabını askıya aldı.
Tepkiniz Nedir?
