פושעי סייבר משתמשים כעת בפרסומות של חיפוש גוגל כדי לקדם אתרי דיוג אשר גונבים את אישורי הגישה (שמות משתמשים וסיסמאות) של מפרסמים בפלטפורמת Google Ads. פושעי הסייבר מריצים מודעות בחיפוש גוגל המתחזות ל- Google Ads – מודעות המוצגות כתוצאות ממומנות המפנות קורבנות פוטנציאליים לדפי התחברות מזויפים המתארחים ב- Google Sites, אך נראים כמו דף הבית הרשמי של Google Ads, שבו הם מתבקשים להיכנס לחשבונות שלהם.
יש לציין כי Google Sites משמש לאירוח דפי דיוג מכיוון שהוא מאפשר לפושעי סייבר להסוות את המודעות המזויפות שלהם, בהינתן שכתובת האתר (sites.google.com) תואמת לדומיין השורש של Google Ads לצורך התחזות מוחלטת. "אכן, אינך יכול להציג כתובת אתר במודעה אלא אם דף הנחיתה שלך (כתובת האתר הסופית) תואמת לאותו שם דומיין. אמנם זהו כלל שנועד להגן על שימוש לרעה והתחזות, אולם ניתן לעקוף כלל זה", אמר Jérôme Segura – מנהל מחקר סייבר בכיר ב- Malwarebytes. לדבריו: "במבט לאחור במודעה ובדף Google Sites, אנו רואים שהמודעה הזדונית אינה מפרה לחלוטין את הכלל מאחר ש- sites.google.com משתמש באותם דומיינים שורשיים ads.google.com. במילים אחרות, מותר לעשות הצג כתובת אתר זו במודעה ולכן לא ניתן להבחין בה מאותה מודעה שפרסמה Google LLC."
על פי אנשים שנפלו קורבן למתקפות דיוג אלו, כוללות המתקפות מספר שלבים: הקורבן מזין את פרטי חשבון הגוגל שלו בדף ההתחזות; ערכת הדיוג אוספת מזהים ייחודיים, קובצי Cookie ואישורי כניסה; הקורבן עשוי לקבל אימייל המציין התחברות ממקום חריג; אם הקורבן לא עוצר את הניסיון הזה, נוסף מנהל מערכת חדש לחשבון Google Ads דרך כתובת Gmail אחרת; פושעי הסייבר משתמשים בחשבון הפרסום ונועלים את הקורבן מחוץ לחשבון שלו. לפחות שלוש קבוצות פשעי סייבר עומדות מאחורי המתקפות הללו, כולל דוברי פורטוגזית שפועלים כנראה מברזיל, האקרים ממדינות באסיה המשתמשים בחשבונות מפרסמים מהונג קונג (או מסין) וכן, כנופיה שלישית ככל הנראה ממזרח אירופה.
Malwarebytes Labs, שזיהתה את המתקפה, מאמינה שהמטרה הסופית של פושעי הסייבר היא למכור את החשבונות הגנובים בפורומי פריצה ולהשתמש בחלקם כדי להפעיל מתקפות סייבר עתידיות באמצעות אותן טכניקות דיוג. "זוהי פעולת ה- malvertising המחפירה ביותר שאי פעם עקבנו אחריה, שהגיעה לליבת העסקים של גוגל ומשפיעה כנראה על אלפי לקוחותיהם ברחבי העולם. אנו מדווחים כל הזמן על תקריות חדשות", הדגיש Segura והוסיף כי: "למרבה האירוניה, זה בהחלט אפשרי שאנשים פרטיים ועסקים המנהלים מסעות פרסום אינם משתמשים בחוסם פרסומות (כדי לראות את המודעות שלהם ושל המתחרים שלהם), מה שמגדיל את הפוטנציאל שלהם עוד יותר ליפול קורבנות למתקפות הדיוג הללו".
חשבונות Google Ads גנובים מבוקשים מאוד על ידי פושעי סייבר המשתמשים בהם באופן קבוע כדלק למתקפות סייבר אחרות אשר מנצלות גם הן לרעה את מודעות החיפוש של Google, כדי לדחוף נוזקות ולהפעיל הונאות סייבר שונות.
"אנו אוסרים במפורש פרסומות שמטרתן להונות אנשים במטרה לגנוב את המידע שלהם או להונות אותם. הצוותים שלנו חוקרים את הנושא הזה באופן אקטיבי ופועלים במהירות כדי לטפל בו", אמרה גוגל לאנשי אתר BleepingComputer כשהתבקשה לספק פרטים נוספים על המתקפות. במהלך שנת 2023, חסמה גוגל או הסירה 206.5 מיליון פרסומות בשל הפרת מדיניות מצג השווא שלה. גוגל גם הסירה יותר מ- 3.4 מיליארד מודעות, הגבילה יותר מ- 5.7 מיליארד והשעתה למעלה מ- 5.6 מיליון חשבונות מפרסמים.