Фальшивые сайты в рекламной выдаче Google

Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.

Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.

Поддельные страницы Semrush

Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.

Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.

Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.

Отличить фишинговые страницы от оригинала можно только по адресу. Как и в случае с настоящей формой входа в Semrush, на поддельных страницах предлагается два основных способа аутентификации: войти через Google-аккаунт или же ввести логин и пароль непосредственно от Semrush. Однако при этом злоумышленники заботливо заблокировали поля для ввода учетных данных второй опции. Таким образом, жертвам ничего больше не оставалось, кроме как выбирать вариант аутентификации с помощью Google.

Далее открывалась следующая поддельная страница, не менее убедительно имитирующая вход с Google-аккаунтом. Разумеется, введенные на ней данные учетной записи Google попадали напрямую в руки злоумышленников.

Фальшивый Google Ads в рекламе Google Ads

Еще интереснее выглядит вариант той же атаки, в ходе которой преступники использовали Google Ads для продвижения фальшивых версий… самого Google Ads. Ее механизм весьма похож на вышеописанную охоту за учетными данными Semrush, за исключением одной крайне интересной детали — отображаемое в рекламном блоке доменное имя поддельной версии Google Ads полностью совпадает с копируемым оригиналом (ads.google[.]com).

Преступники смогли добиться этого с помощью использования другого сервиса Google — платформы для создания сайтов Google Sites. Согласно правилам Google Ads, на рекламном объявлении может быть размещен адрес любой страницы, при условии что ее домен совпадает с доменом конечного сайта, на который ведет ссылка из данного объявления. Соответственно, если злоумышленник создает промежуточный сайт при помощи Google Sites, то он имеет доменный адрес google.com, а значит, в объявлении можно демонстрировать ads.google.com.

Ссылки с промежуточного сайта ведут дальше, на страницу, имитирующую механизм входа в аккаунт Google Ads. В случае если жертва атаки не замечает того, что в этот момент покидает страницы, принадлежащие Google, и вводит свои учетные данные, они попадают прямиком в руки преступников.

Как защитить компанию от фишинга

Глобально проблему с продвижением вредоносных сайтов через Google Ads может решить только сама Google. Впрочем, следует отметить, что в обоих описанных случаях — как с рекламой поддельной страницы Google Ads, так и с рекламой фальшивых сайтов Semrush — сервис достаточно быстро принял меры и перестал выдавать их в первых строках поиска.

Чтобы обеспечить безопасность вашей организации и защиту от подобных фишинговых кампаний, мы рекомендуем следующее:

• Напоминайте сотрудникам, что часто используемые сайты лучше всего вносить в закладки, а не полагаться каждый раз на поисковые сервисы.
• Обучайте сотрудников распознавать потенциальные угрозы. Например, это можно легко и недорого организовать с помощью образовательной платформы Kaspersky Automated Security Awareness Platform, позволяющей автоматизировать процесс обучения.
• Обязательно используйте многофакторную аутентификацию во всех сервисах, которые позволяют это делать. В случае Google-аккаунтов лучше всего использовать так называемые ключи доступа.
• Установите надежную защиту на все корпоративные устройства — она вовремя предупредит об опасности и заблокирует переход на подозрительный сайт.