A kiberbűnözők rendkívül kreatív módszert találtak arra, hogy olyan hirdetéseket készítsenek, amelyekről első ránézésre nem derül ki, teljes mértékben hamisak és csak azért készültek, hogy adatokat lopjanak rajtuk keresztül. A súlyos problémára a MalwareBytes biztonságtechnikai kutatói hívták fel a figyelmet, akik azt is elárulták, pontosan hogyan működik a csalás.
A rendkívül súlyos veszélyt jelentő támadásforma lényegében a Google Search, azaz a Google Kereső felületén megjelenő hirdetésekre épül, amelyeket maguk a hackerek hozzák létre, méghozzá elég trükkösen, hiszen elsőre úgy tűnhet, hogy egy speciális, a Google által kiadott hirdetésről van szó, ami a Google Ads platformot népszerűsíti, valójában azonban hamis tartalommal van dolgunk.
A hackerek igazából találtak egy kiskaput az aktuális szabályozásban, amit hatékonyan ki is tudnak játszani. Alap esetben egy adott hirdetésbe nem kerülhet olyan URL, ami nem egyezik meg a végső oldalra mutató domain névvel, ezzel próbálják megakadályozni, hogy visszaéléseket követhessenek el a rosszindulatú hirdetők, ám a jelek szerint már van mód arra is, hogy a szabályozást kijátsszák. A hackerek a Google Sites szolgáltatáson belül regisztrált weblap címét másolják a hirdetésbe, így a hirdetésben megjelenő linknél használhatják az ads.google.com címet, hiszen a végső hivatkozás is ugyanezen a domainen belül van, ahol a gyanútlan delikvens a kattintás után landol.
Ha sikerült csőbe húzni a hirdetőt, akkor megkezdődhet a Google Ads fiók adatainak megszerzése. Mivel a Google Ads szolgáltatását használó magánszemélyek és cégek általában nem vetnek be reklámblokkolót annak érdekében, hogy lássák saját, illetve a konkurensek hirdetéseit, így a hackerek által gondosan megtervezett hirdetések is megjelennek számukra, arra rákattintva azt hiheti a gyanútlan áldozat, hogy éppen a Google Ads lapjára lépett, a csalinak használt céloldal ugyanis megtévesztésig hasonlít az eredetire. Ha a leendő áldozat ezen a lapon megadja a hozzáférési adatait, akkor egy adathalász algoritmus összegyűjti azokat, majd hozzácsapja az egyedi azonosítókat, illetve a sütiket is, ezek birtokában pedig már meg is kísérelhetik a belépést a hackerek az adott felhasználó Google Ads fiókjába.
Ekkor érkezni fog egy automatikus levél a Google csapatától, amiben arra hívják fel a figyelmet, hogy szokatlan helyről történt bejelentkezés, és ha ezt követően nem tesz óvintézkedéseket az áldozat, akkor új adminisztrátort adnak hozzá a hackerek a Google Ads fiókhoz egy másik GMail címet használva, majd az eredeti tulajdonost megpróbálják kizárni, ha tudják. A sikeres támadás és a Google Ads fiók sikeres megszerzése több végkimenetellel is járhat: egyrészt a támadó további hirdetések feladására használhatja a rendelkezésre álló büdzsét, másrészt viszont áruba bocsáthatja az adott fiókot, amit aztán később ugyancsak illegális célokra használhatnak, például egy új adatlopási kampány részeként.
A trükköt az alábbi folyamatábra rendkívül jól szemlélteti:
A Google csapata a Bleeping Computer munkatársainak adott válaszában megerősítette, fokozottan figyelnek a hasonló csalásokra, és kifejezetten tiltják azokat a hirdetéseket, amelyek célja a felhasználók megtévesztése, információik ellopása, vagy éppen a felhasználók átverése. A fejlesztők aktívan vizsgálják a fentebb részletezett problémát és mindent elkövetnek annak érdekében, hogy gyorsan megoldást találjanak a hasonló esetek kivédésére. Beszédes adat, hogy a Google csapata 2023 folyamán összesen 206,5 millió olyan hirdetést távolított el vagy tiltott le, amelyek megsértették a félrevezetésre vonatkozó irányelveket. Közben 5,6 milliónál is több hirdetői fiókot függesztettek fel, 3,4 milliárd hirdetést távolítottak el, 5,7 milliárd hirdetést pedig korlátoztak.
A fentiek alapján van még hova fejleszteni a hirdetéskezelő rendszert, ugyanis a hackerek folyamatosan ontják magukból a kreatívabbnál kreatívabb adatlopó módszereket.
