Malwarebytes Labs資安研究人員揭露近期一場針對Google Ads廣告主的大規模釣魚攻擊,攻擊者藉由惡意假冒Google Ads的廣告,成功竊取多個廣告帳戶的登入憑證,並利用被盜帳戶挪用廣告預算,進一步擴大其惡意活動範圍。
該廣告攻擊行動之所以受到矚目,研究人員指出,評估攻擊的規模與精密程度,這場攻擊是目前追蹤到最具破壞力的惡意廣告行動,同時也暴露出全球數位廣告生態系的脆弱性。
根據資安研究人員的調查,這些惡意廣告偽裝為Google Ads服務的官方廣告,出現在Google搜尋結果中的贊助廣告欄位,誘使用戶點擊並進入假登入頁面。假登入頁面大多託管於Google Sites,利用與Google官方網站類似的域名設計來誘騙受害者,進而繞過廣告顯示URL與最終URL域名必須相符的規定。
一旦受害者在假頁面中輸入帳戶憑證,攻擊者便可取得帳戶的完整控制權,進而更改帳戶設定,甚至將自己的電子郵件地址添加為帳戶管理員。
攻擊背後涉及至少三個不同的犯罪團體,分別來自巴西、亞洲以及東歐。惡意攻擊者利用各種技術,包括瀏覽器指紋辨識與流量過濾,來篩選目標並收集詳細的受害者資訊。一些被盜的廣告帳戶原本就已在運作大量合法廣告,攻擊者竊取後,直接挪用這些帳戶的廣告預算來投放更多假廣告,讓攻擊範圍進一步擴大。
受影響的廣告主遍及全球,包括個人與企業,甚至臺灣知名電子公司也成為攻擊目標。針對這些問題,Google的應對措施備受質疑。研究人員指出,儘管多次向Google舉報釣魚假廣告,許多惡意廣告仍活躍於搜尋結果中。一些惡意廣告主在被多次舉報後仍未被徹底移除,顯示出Google在帳戶安全與廣告濫用管理機制中的執行效率不足,對廣告生態系的信任度構成挑戰。
研究人員建議廣告主提高警覺,避免直接點擊搜尋結果中的廣告,而應透過Google的官方網站登入或操作廣告帳戶。此外,加強雙因素驗證等安全措施也有助於降低帳戶被盜風險。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2024-11-05
2025-02-12
