کشف حمله فیشینگ با تبلیغات جعلی گوگل

کشف حمله فیشینگ با تبلیغات جعلی گوگل

اخیرا تبلیغات سرچ گوگل ادز کیف پول Rabby Wallet در نتایج سرپ (serp) دیده می‌شد. اما تیم این کیف پول ارز دیجیتال می‌گفتند د ر حال حاضر هیچ گونه تبلیغ یا کمپینی ندارند و این تبلیغات را جعلی می‌دانستند. از طرفی این تبلیغات جعلی کاربران را به وبسایت رسمی خود کیف پول می‌برد. چه اتفاقی داشت می‌افتاد؟ چرا یک تیم هک باید چنین کاری می‌کرد؟  آیا منطقی است که گروه فیشینگ هزینه تبلیغات کیف پول را بپردازد و خیلی قانونی آن را تبلیغ کنند؟

SlowMist تیم امنیت بلاک چین با همکاری تیم Rabby Wallet یک روش حمله فیشینگ را کشف کردند که از تبلیغات گوگل استفاده می‌کند. کلاهبرداران از یک استراتژی پیچیده جدید برای فیشینگ استفاده می‌کنند. این حمله از سرویس Firebase Short Link گوگل و ریدایرکت 302 برای دور زدن مکانیزم‌های نمایش گوگل استفاده کرده است. به این ترتیب، زمانی که کاربران کلمات کلیدی را در جستجوی گوگل وارد می‌کردند، دو نتیجه اول جستجو توسط تبلیغات فیشینگ اشغال می‌شد که گاهی کاربران را به سایت اصلی کیف پول می‌برد و اغلب خیر! اما این حمله چطور انجام می‌شد؟

فیشینگ

هکرها چگونه با ریدایرکت 302 گوگل را دور می‌زدند؟ 


ریدایرکت 302 یک کد HTTP است که نشان‌دهنده تغییر موقت آدرس است. زمانی که سرور به درخواست کاربر نیاز دارد تا منابع درخواست‌شده را به مکانی دیگر انتقال دهد، از این کد استفاده می‌کند.

در نگاه اول به نظر می‌رسید که تبلیغات جعلی کاربران را به آدرس رسمی Rabby Wallet می‌فرستد. اما این با عقل جور درنمی‌آمد. تحلیل تیم SlowMist نشان داد که تبلیغات فیشینگ گوگل ادز چندین ریدایرکت 302 را تجربه می‌کند:

  1. درخواست اولیه به آدرس فیشینگ https://rabby.iopost.ivsquarestudio.com هدایت می‌شد.
حمله فیشینگ با تبلیغات جعلی گوگل
  1. در ادامه برای تصمیم گیری درمورد ریدایرکت دو شیوه وجود داشت:

اول: در صورت استفاده از مرورگر غیرعادی، کاربران به آدرس رسمی https://rabby.io هدایت می‌شدند.

حمله فیشینگ با تبلیغات جعلی گوگل

دوم: در صورت استفاده از مرورگر معمولی و منطقه مناسب، کاربران به آدرس فیشینگ جدید https://dnovomedia.com/?uid=087aa42d-724b-4a1e-bae7-f1f700ce71e6 یا https://robby.page.link/Zi7X/?url=https://rabby.io?gad_source=1

هدایت می‌شدند.

حمله فیشینگ با تبلیغات جعلی گوگل

هکرها چگونه با تروجان به جان اطلاعات قربانیان می‌افتادند؟

تروجان یک بدافزار برای هک و سواستفاده از اطلاعات کامپیوتر شما است. تروجان‌ها انواع مختلفی با مقاصد شوم متفاوتی دارند. یک تروجان ممکن است برای سرقت اطلاعات بانکی، نمایش اطلاعات، از کار انداختن سیستم و هک استفاده شود. 

  • در بررسی کد فیشینگ، مشخص شد که مهاجمان از پلتفرم Fastpanel برای مدیریت برنامه‌های مخرب استفاده کرده‌اند.
  • در صورت تشخیص سیستم مک، کاربران به آدرس دانلود https://brandsrocket.com/data/rabby-wallet-desktop-installer-x64-latest.dmg هدایت می‌شدند.
  • این تروجان تنها 1.1 مگابایت حجم داشت که به مهاجمان دسترسی غیرمجاز می‌داد.

مراحل حمله فیشینگ گوگل ادز 

  1. ایجاد کمپین تبلیغاتی: کلاهبرداران کمپین‌های تبلیغاتی در Google Admanager ایجاد می‌کردند. این تبلیغات از نوع تبلیغات سرچ گوگل ادز بود.  
  2. هدف‌گذاری منطقه‌ای: هکرها مناطق خاصی را انتخاب کردند تا خیلی با بررسی‌های امنیتی درگیر نشوند.
  3. ایجاد لینک‌های جعلی: از سرویس Firebase Short Link گوگل برای ایجاد لینک‌های معتبر ظاهری استفاده شد. این لینک‌ها پس از تایید اولیه تغییر داده می‌شدند و گوگل این تغییرات را در زمان واقعی (real time) بررسی نمی‌کرد.

هدف نهایی فیشینگ گوگل ادز چه بود؟

هدف کلاهبرداران از این جمله، فریب کاربران برای بازدید از وب‌سایت‌های مخرب بود. در مورد جعل هویت Rabby Wallet، این کلاهبرداری منجر به دانلود یک تروجان شد. در برخی از جعل‌های دیگر هم با حملات فیشینگ این حمله به پایان می‌رسید.

توصیه‌های مهم امنیتی برای در دام فیشینگ گوگل ادز نیفتادن

تیم SlowMist به جامعه کریپتو هشدار داده که طرح‌های فیشینگ مشابهی در پیام‌رسان‌هایی مانند تلگرام نیز استفاده می‌شود. در این پیام‌رسان‌ها، لینک‌های مخرب در چت‌ها توزیع می‌شوند و برخی از نرم‌افزارها نمی‌توانند ریدایرکت‌های 302 را مسدود کنند.

کاربران نباید تنها بر اساس اطلاعات نمایشی صفحه (مانند عنوان، دامنه و آیکون) تصمیم بگیرند و باید قبل از کلیک روی لینک‌ها، دقت بیشتری داشته باشند.

  • تنها به آدرس‌های رسمی اعتماد کنید و از کلیک روی تبلیغات گوگل خودداری کنید.
  • در صورت قربانی شدن، بلافاصله وجوه خود را منتقل کرده و سیستم خود را برای شناسایی ویروس‌ها اسکن کنید.
  • قبل از کلیک روی لینک‌ها، نسبت به صحت آن‌ها شک داشته باشید.
0 نظرات
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

آخرین مقالات:

مشاوره رایگان برای شما

برای دریافت مشاوره تلفنی، نام و شماره تلفن خود را وارد کنید.