Сотрудники различных организаций регулярно обращаются к сторонним веб-сервисам через браузер. Одни запоминают адреса часто посещаемых ресурсов, другие сохраняют их в закладках. Однако некоторые пользователи постоянно ищут нужные сайты через поисковые системы, кликая по первым результатам выдачи. Именно на эту привычку рассчитывают киберпреступники, которые распространяют фишинговые ресурсы через платформу Google Ads. Благодаря платным объявлениям поддельные страницы занимают в поиске более высокие позиции, чем официальные сайты.
Согласно данным отчёта Ads Safety Report, в 2024 году Google заблокировала или удалила 415 млн рекламных материалов из-за нарушений, связанных преимущественно с обманом пользователей. Компания также ограничила доступ 5 млн рекламных аккаунтов, размещавших подобный контент. Эти цифры демонстрируют серьёзность проблемы — преступники активно используют Google Ads для распространения вредоносных ресурсов. Хотя большинство атак ориентировано на частных лиц, в последнее время участились случаи целевых атак на корпоративные учётные записи в таких сервисах, как Semrush, и даже внутри самой платформы Google Ads.
Мошеннические копии Semrush
Semrush — востребованный инструмент для SEO-специалистов, помогающий анализировать ключевые слова, изучать конкурентов, отслеживать ссылочную массу и выполнять другие задачи. Платформа часто интегрируется с Google Analytics и Google Search Console, где хранится конфиденциальная бизнес-информация: финансовые показатели, маркетинговые планы, данные о клиентском поведении и прочее.
Получив доступ к аккаунту Semrush, злоумышленники могут использовать эти сведения для новых атак на сотрудников или продажи информации в даркнете.
В ходе новой фишинговой кампании мошенники создали серию ресурсов, визуально копирующих страницу авторизации Semrush. Для большей правдоподобности использовались домены, содержащие брендовые названия: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com» и другие. Все эти подделки продвигались через Google Ads.
Отличить фальшивку можно только по адресной строке. Как и на оригинале, посетителям предлагалось два варианта входа: через учётную запись Google или с использованием логина и пароля Semrush. Однако поля для самостоятельного ввода данных были намеренно заблокированы, что вынуждало пользователей выбирать авторизацию через Google.
После этого открывалась поддельная страница входа через Google, где введённые учётные данные сразу попадали к злоумышленникам.
Поддельная реклама Google Ads
Особый интерес представляет схема, когда мошенники использовали Google Ads для продвижения фейковой версии… самого Google Ads. Методика аналогична атаке на Semrush, но с одним важным отличием — в рекламном объявлении отображался настоящий домен ads.google[.]com.
Это стало возможным благодаря использованию конструктора сайтов Google Sites. Согласно правилам платформы, в объявлении можно показывать адрес конечного ресурса, если он совпадает с доменом промежуточной страницы. Создав сайт через Google Sites (с доменом google.com), злоумышленники получили возможность легально указывать ads.google.com в рекламе.
Ссылка вела на поддельную страницу входа в Google Ads. Если жертва не замечала перехода на сторонний ресурс и вводила свои данные, они сразу же становились доступны преступникам.
Меры защиты от фишинговых атак
Кардинально решить проблему с распространением вредоносной рекламы может только сама Google. Стоит отметить, что в описанных случаях — как с поддельными страницами Semrush, так и с фейковым Google Ads — компания оперативно блокировала опасные объявления.
Для повышения безопасности компании рекомендуется:
- Приучать сотрудников сохранять важные ресурсы в закладки вместо постоянного поиска через браузер.
- Регулярно проводить обучение по распознаванию угроз. Для этого подходят автоматизированные платформы вроде Kaspersky Automated Security Awareness Platform.
- Активировать многофакторную аутентификацию во всех поддерживающих её сервисах. Для аккаунтов Google оптимально использовать аппаратные ключи безопасности.
- Устанавливать на корпоративные устройства надёжные защитные решения для блокировки опасных сайтов.
