اخیرا تبلیغات سرچ گوگل ادز کیف پول Rabby Wallet در نتایج سرپ (serp) دیده میشد. اما تیم این کیف پول ارز دیجیتال میگفتند د ر حال حاضر هیچ گونه تبلیغ یا کمپینی ندارند و این تبلیغات را جعلی میدانستند. از طرفی این تبلیغات جعلی کاربران را به وبسایت رسمی خود کیف پول میبرد. چه اتفاقی داشت میافتاد؟ چرا یک تیم هک باید چنین کاری میکرد؟ آیا منطقی است که گروه فیشینگ هزینه تبلیغات کیف پول را بپردازد و خیلی قانونی آن را تبلیغ کنند؟
SlowMist تیم امنیت بلاک چین با همکاری تیم Rabby Wallet یک روش حمله فیشینگ را کشف کردند که از تبلیغات گوگل استفاده میکند. کلاهبرداران از یک استراتژی پیچیده جدید برای فیشینگ استفاده میکنند. این حمله از سرویس Firebase Short Link گوگل و ریدایرکت 302 برای دور زدن مکانیزمهای نمایش گوگل استفاده کرده است. به این ترتیب، زمانی که کاربران کلمات کلیدی را در جستجوی گوگل وارد میکردند، دو نتیجه اول جستجو توسط تبلیغات فیشینگ اشغال میشد که گاهی کاربران را به سایت اصلی کیف پول میبرد و اغلب خیر! اما این حمله چطور انجام میشد؟
هکرها چگونه با ریدایرکت 302 گوگل را دور میزدند؟
ریدایرکت 302 یک کد HTTP است که نشاندهنده تغییر موقت آدرس است. زمانی که سرور به درخواست کاربر نیاز دارد تا منابع درخواستشده را به مکانی دیگر انتقال دهد، از این کد استفاده میکند.
در نگاه اول به نظر میرسید که تبلیغات جعلی کاربران را به آدرس رسمی Rabby Wallet میفرستد. اما این با عقل جور درنمیآمد. تحلیل تیم SlowMist نشان داد که تبلیغات فیشینگ گوگل ادز چندین ریدایرکت 302 را تجربه میکند:
- درخواست اولیه به آدرس فیشینگ https://rabby.iopost.ivsquarestudio.com هدایت میشد.
- در ادامه برای تصمیم گیری درمورد ریدایرکت دو شیوه وجود داشت:
اول: در صورت استفاده از مرورگر غیرعادی، کاربران به آدرس رسمی https://rabby.io هدایت میشدند.
دوم: در صورت استفاده از مرورگر معمولی و منطقه مناسب، کاربران به آدرس فیشینگ جدید https://dnovomedia.com/?uid=087aa42d-724b-4a1e-bae7-f1f700ce71e6 یا https://robby.page.link/Zi7X/?url=https://rabby.io?gad_source=1
هدایت میشدند.
هکرها چگونه با تروجان به جان اطلاعات قربانیان میافتادند؟
تروجان یک بدافزار برای هک و سواستفاده از اطلاعات کامپیوتر شما است. تروجانها انواع مختلفی با مقاصد شوم متفاوتی دارند. یک تروجان ممکن است برای سرقت اطلاعات بانکی، نمایش اطلاعات، از کار انداختن سیستم و هک استفاده شود.
- در بررسی کد فیشینگ، مشخص شد که مهاجمان از پلتفرم Fastpanel برای مدیریت برنامههای مخرب استفاده کردهاند.
- در صورت تشخیص سیستم مک، کاربران به آدرس دانلود https://brandsrocket.com/data/rabby-wallet-desktop-installer-x64-latest.dmg هدایت میشدند.
- این تروجان تنها 1.1 مگابایت حجم داشت که به مهاجمان دسترسی غیرمجاز میداد.
مراحل حمله فیشینگ گوگل ادز
- ایجاد کمپین تبلیغاتی: کلاهبرداران کمپینهای تبلیغاتی در Google Admanager ایجاد میکردند. این تبلیغات از نوع تبلیغات سرچ گوگل ادز بود.
- هدفگذاری منطقهای: هکرها مناطق خاصی را انتخاب کردند تا خیلی با بررسیهای امنیتی درگیر نشوند.
- ایجاد لینکهای جعلی: از سرویس Firebase Short Link گوگل برای ایجاد لینکهای معتبر ظاهری استفاده شد. این لینکها پس از تایید اولیه تغییر داده میشدند و گوگل این تغییرات را در زمان واقعی (real time) بررسی نمیکرد.
هدف نهایی فیشینگ گوگل ادز چه بود؟
هدف کلاهبرداران از این جمله، فریب کاربران برای بازدید از وبسایتهای مخرب بود. در مورد جعل هویت Rabby Wallet، این کلاهبرداری منجر به دانلود یک تروجان شد. در برخی از جعلهای دیگر هم با حملات فیشینگ این حمله به پایان میرسید.
توصیههای مهم امنیتی برای در دام فیشینگ گوگل ادز نیفتادن
تیم SlowMist به جامعه کریپتو هشدار داده که طرحهای فیشینگ مشابهی در پیامرسانهایی مانند تلگرام نیز استفاده میشود. در این پیامرسانها، لینکهای مخرب در چتها توزیع میشوند و برخی از نرمافزارها نمیتوانند ریدایرکتهای 302 را مسدود کنند.
کاربران نباید تنها بر اساس اطلاعات نمایشی صفحه (مانند عنوان، دامنه و آیکون) تصمیم بگیرند و باید قبل از کلیک روی لینکها، دقت بیشتری داشته باشند.
- تنها به آدرسهای رسمی اعتماد کنید و از کلیک روی تبلیغات گوگل خودداری کنید.
- در صورت قربانی شدن، بلافاصله وجوه خود را منتقل کرده و سیستم خود را برای شناسایی ویروسها اسکن کنید.
- قبل از کلیک روی لینکها، نسبت به صحت آنها شک داشته باشید.