對於常用的網站,有些人會利用書籤功能去記住網站,但也有人倚靠搜索引擎協助,而騙徒就利用這一點,於Google廣告上設置偽冒真實的假網站,並且針對商用帳號和公司資料。
假Semrush網頁
Semrush是一個協助用戶找出關鍵字、分析競爭者網站、追蹤反向連結等功能的知名工具,分佈全球SEO專業人士都有使用,為了提高效能,Semrush經常與Google Analytics和Google Search Console整合,在那些服務的帳號內含有大量私人公司資料,例如收入報告、市場策略、顧客行為分析等等。如果網絡犯罪份子取得Semrush帳號的存取權,他們透過從中得到的資料發動更多針對公司員工的攻擊,或在暗網上出售存取權資料。
如此吸引的目標,騙徒使用了網絡釣魚針對SEO的專家,設立了一系列設計與Semrush登入網頁相似的網站,為了增加可信性,騙徒使用多個名字包括公司名稱的域名,例如:semrush[.]click、semrush[.]tech、auth.seem-rush[.]com、semrush-pro[.]co、sem-rushh[.]com等等,他們使用Google Ads去宣傳這些假網站。唯一分辨網站真假是查看網站地址,一如真實的Semrush登入網頁,假網頁顯示兩種登入方法,一種是使用Google帳號,另一種是輸入用戶的Semrush用戶名稱和密碼,但網絡犯罪份子機靈地阻止了Semrush憑證的部份,所以受害者只能夠選擇透過Google登入。隨後另一個假網頁將會打開,是一個像真度較低的Google帳號登入網頁,而輸入的資料全部送到騙徒手上。
假Google Ads在Google Ads
同類攻擊中有另一個較有趣的版本,網絡犯罪份子利用Google廣告推廣假的Google廣告,操作方式與上文提盜竊的Semrush憑證的手法相似,但在假Google Ads上顯示的網站地址與真實網址完同相同(ads.google[.]com)。騙徒更利用另一個Google的服務,建立網站的平台Google Sites,由於廣告可以顯示任何頁面地址,只要網域名稱與廣告導向的實際網站域名相符,如果攻擊者在Google Sites上建立中間網站,它的域名就是google.com,這意味著廣告可以顯示ads.google.com。
這個暫時網站會重新導引訪客到一個看似Google Ads登入的網頁,如果用戶沒有發現自己已離開新Google網頁並輸入了登入資料,便會親手把資料送到犯罪份子手上。
讓公司遠離網絡釣魚
要完全解決惡意網站透過Google Ads推廣只有Google能辦到,幸好以上兩種情況Google都迅速採取行動,把它們從搜尋結果最上端刪除。而公司想遠離這種釣魚攻擊,我們建議:
- 提醒公司員工最好bookmark常用網站
- 培訓員工找出潛在威脅
- 在所有支援的服務上使用多重登入認證
- 在所有公司裝置安裝可靠的保安方案
資料來源:Kaspersky Blog
