עובדי Lowe's – רשת קמעונאות למוצרי בניה ושיפוצים, עוברים מתקפת דיוג עבור אישורי הגישה שלהם (שמות משתמשים וסיסמאות) באמצעות מתקפת Malvertising של מודעות גוגל ממומנות. באמצע החודש שעבר נתקל ג'רום סגורה – מנהל מחקר בכיר באתר Malwarebytes, בקבוצה קטנה של אתרי אינטרנט זדוניים המחקים את MyLowesLife – פורטל העובדים של חברת Lowe's המנהלת עבור העובדים הטבות, תלושי שכר וכדומה. האתרים הזדוניים חיקו את המבנה המדויק של פורטל MyLowesLife האמיתי והפעילו עליהם קידום ממומן בחיפושים בגוגל. במקרה אחד, כאשר חיפשו חוקרים את הביטוי 'myloweslife', היו שלוש התוצאות המובילות מודעות ממומנות הקשורות לפרסום הזדוני.
עובדי Lowe's שנכנסו לקישורים אלו מצאו מעט סיבות לחשוד במה שהם מצאו. דף הנחיתה שנוצר חיקה את פורטל העובדים האמיתי של Lowe's, עם שדות למשתמשים להגשת מספרי המכירות (החשבון) והסיסמאות שלהם. עובדים שהקישו על 'התחברות' התבקשו לתת "תשובה לשאלת האבטחה". כל פרטי המידע הללו הועברו לערכת דיוג הנשלטת על ידי פושעי הסייבר. "אישורים גנובים מעניקים לפושעי סייבר גישה למידע בעל ערך רב שיכול לשמש לגניבת זהות", הזהיר סגורה והדגיש: "העובדים של Lowe's המושפעים עלולים לחוות הונאות ולספוג הפסדים כספיים וכן, גניבת חשבונות עובדים עלולים לגרום לגניבה הקשורה להטבות או לפרטי הבנק שלהם."
יש לציין כי דפי הבית הראשיים של האתרים המזויפים האלו – myloveslife[.]net, mylifelowes[.]org, mylifelowes[.]net ו-myliveloves[.]net – היו מאוכלסים בתבניות כלליות לחלוטין, שנוצרו כנראה על ידי AI לאתרי אינטרנט קמעונאיים, בלי שום קשר לזה של Lowe's. כפי שמסביר סגורה, זה לגמרי אסטרטגי: מלבד חיסכון של זמן ומאמץ של פושעי הסייבר, קיום דף בית תמים יכול להטעות חוקרי סייבר ולהקשות על הסרת האתרים הללו אצל רשם הדומיינים שלהם.
חשוב להבין כי לעתים קרובות פשוט יותר מהר וקל להגיע לאתר שמחפשים באמצעות חיפוש מהיר, במקום להקליד כתובת דומיין מלאה בדפדפן. יש גם גורם אמון המובנה במנועי החיפוש העיקריים, שהאלגוריתמים שלהם בנויים כדי לקדם תוצאות בטוחות ואמינות לראש כל חיפוש, אולם תוצאות חיפוש ממומנות עלולות להטעות גולשים מזדמנים באינטרנט אשר יתנו בהן את אותה רמת אמון. סיבות אלו, בין היתר, עוזרות להסביר את הפופולריות הכללית של Malvertising כאמצעי לגניבת אישורים והדבקה של נתונים דמוגרפיים ממוקדים בתוכנות זדוניות ואפילו מדוע נפלו קורבן משתמשי אינטרנט בעלי ידע טכני לפרסומים אלו.
בחודשים האחרונים עקבו אנשי אתר Malwarebytes אחר הונאות דיוג שונות המכוונות לצוותי IT ולהפצת דפדפן חדש. המקרה שבו מעורבים עובדי Lowe's הוא ייחודי שכן, בניגוד לכלי IT ודפדפנים חדשים, אין זה הגיוני לפרסם לציבור פורטל פנימי של החברה. בתיאוריה, אמורה עובדה זו להקל על זיהוי המודעות המזויפות הללו, הן עבור גולשי אינטרנט והן עבור ספקי תוצאות חיפוש. לפי סגורה: "גוגל ומנועי חיפוש אחרים יכולים למנוע Malvertising ודיוג על ידי מעקב אחר פורטלי הטבות, דפי כניסה יחידה (SSO) וכדומה, ש'מפרסם' רוכש עבורם שטחי פרסום ממומן. אני מאמין שאפשר להשתמש באלגוריתם חכם כדי לחסום חשבונות באופן יזום לפני שתהיה להם הזדמנות לפתות קורבנות."
