“技术支持中心”网络钓鱼者如何欺骗 Google?

信息安全 网页浏览器 谷歌 网址重定向
2021-09-06 21:54:38

相关:Web 浏览器状态栏是否始终可信?

Google 搜索如何更改 URL 工具提示中的位置?

直到今天,我一直认为您可以“悬停”在链接上以查看其真正的去向。

一位同事(在家工作)在 Google 搜索中搜索“目标”(使用边缘)。他点击了顶部的结果,恰好是一个广告,并被重定向到一个冒充微软试图让他拨打“技术支持”号码的网络钓鱼页面。

我在不同的计算机上,在不同的网络上得到了相同的结果。当我将鼠标悬停在链接上时,两个链接都在底部显示“www.target.com”,但点击广告链接会将您带到恶意软件页面,而第二个链接(广告之后的第一个搜索结果)会将您带到真正的 Target .com 页面。

如果在工具提示中显示错误的 URL 需要 Javascript,那么技术支持中心是如何将他们的 Javascript 放到 Google 搜索结果页面上的?

指向恶意软件网站的“目标”广告 目标的真实搜索结果 恶意软件页面

更新以下是在不同网络上全新安装 Windows 的虚拟机中的相同结果:

不同网络上的虚拟机结果相同

这是 URL 的来源。看起来它确实包含“onmousedown”Javascript作为我提到的第一个问题。Google 是否允许广告客户在工具提示中显示他们想要的任何 URL?

错误链接的页面来源

3个回答

如果在工具提示中显示错误的 URL 需要 Javascript,那么技术支持中心是如何将他们的 Javascript 放到 Google 搜索结果页面上的?

骗子没有设法将 JS 注入搜索结果。这将是一种跨站点脚本攻击,其安全含义与误导性广告大不相同。


相反,Google 广告显示的目标 URL 并不可靠,可能会隐藏实际目标以及一系列跨域重定向。诈骗者可能入侵了第三方广告商并劫持了他们的重定向,从而将您引导至诈骗网站。

屏蔽链接目标是 Google AdWords 的一个有意的功能。通常可以为广告链接指定与有效最终到达网址不同的自定义显示网址。这个想法是通过跟踪器和代理域启用重定向,同时保持简短和描述性的链接。将鼠标悬停在广告上只会显示状态栏中的显示 URL,而不是真正的目的地。

这是一个例子:

  • 我正在寻找“鞋子”。
  • 第一个广告链接显示www.zappos.com/Shoes

Zappos.com 广告

  • 当我点击它时,我实际上被重定向了多次:
    https://www.googleadservices.com /pagead/aclk?sa=L&ai=DChXXXXXXXd-6bXXXXXXXXXXXXkZw&ohost=www.google.com&cid=CAASXXXXXXp8Yf-eNaDOrQ&sig=AOD64_3yXXXXXXXXXXXXXYX_t_11UYIw&q=&ved=0aXXXXXXHd-6bUXXXXXXXXXwIJA&adurl= _
    -- 302 -->
    HTTP:// pixel.everesttech.net / 3374 / C ev_sid = 3&ev_ln =鞋&ev_lx = KWD-12666661&ev_crx = 79908336500&ev_mt = E&ev_n = G&ev_ltx =&ev_pl =&ev_pos = 1T1&ev_dvc = C&ev_dvm =&ev_phy = 1026481&ev_loc =&ev_cx = 333037340&ev_ax = 23140824620&URL = HTTP?: //www.zappos.com/shoes?utm_source=google%26utm_medium=sem_g%26utm_campaign=333037340%26utm_term=kwd-12666661%26utm_content=79908336500%26zap_placement=1t1&gclid=CI3vqXXXXXXXXXXXXXBBA
    -- 302 -->
    http://www.zappos.com /shoes?gclid= CI3vXXXXXXXXXXXXXMBBA &utm_source=google&utm_medium=sem_g&utm_campaign=333037340&utm_term=kwd-12666661&utm_content=79908336500&zap_placement=1t1
    

显然,谷歌对广告链接有严格的目标要求,如果普通客户将链接目标设置为完全不同的域,他们的广告将不会获得批准。但诈骗者偶尔会找到绕过审查过程的方法。至少,谷歌关于“目的地不匹配”的政策非常明确:

以下是不允许的:

  • 不能准确反映用户被引导到哪里的广告 [...]

  • 从最终 URL 重定向,将用户带到不同的域 [...]

不过,受信任的第三方广告商可能会被允许发布跨域重定向。此处列出了一些例外情况,例如:

允许重定向的一个示例是使用代理页面的公司,例如 AdWords 授权经销商。[...]

例如:

  • 原始网站: example.com
  • 代理网站: example.proxydomain.com

我们允许公司使用“example.proxydomain.com”作为最终到达网址,但保留“example.com”作为显示网址。

一个主要的弱点是谷歌不控制第三方重定向器(在上面的例子中,就是pixel.everesttech.net)。在 Google 审核并批准他们的广告后,他们可以简单地开始重定向到不同的域,而不会立即引起 Google 的注意。在您的情况下,攻击者可能设法破坏其中一项第三方服务并将其重定向指向诈骗网站。

最近几个月,有几篇关于几乎相同的骗局模式的新闻报道,例如,这份关于欺诈性亚马逊广告的报道,其显示 URL 拼写amazon.com但重定向到类似的技术支持骗局。

(到目前为止,您的发现也被一些新闻网站收录,包括 BleepingComputer。)

这是付费广告中的常见滥用行为(请注意左箭头尾部的“广告”图标)。

广告商希望跟踪点击 Google 广告的人,部分是为了独立确认 Google 的点击计费,部分是为了赠送免费 cookie。因此,他们要求搜索引擎将用户发送到执行此操作的ClickURL,然后转发到正确的目的地。ClickURL 可能不在现场,例如在广告代理处。

广告商希望提供一个单独的DisplayURL,它只是文字广告中显示的 URL。隐藏丑陋的广告代理 URL,并显示一个整齐显示的 URL,而不是实际的目标 URL(可能很长,例如特定的产品页面)。 此 DisplayURL 被网络钓鱼者滥用。

从未向搜索引擎提供目标 URL(ClickURL转发到的位置)。由于 ClickURL 通常与 DisplayURL 位于不同的域中,因此很难监管。target.comTarget 可能会保留多个 SEO,每个 SEO 都使用不同的 Google ID 或广告代理,因此随机的 Google ID突然运行带有 DisplayURL 的广告并没有什么奇怪的。

广告商很可能是一家小型企业并被钓鱼:即垃圾邮件发送者获得了他们的 Google 用户凭据,发现了一个存储有信用卡数据的 Google Ad 帐户,并在他们的一角钱上投放广告。

Arminius 提供的这个答案的一个方面是,它必须在某个时候成为 Target 信任的机构。因为当您在 AdWords 中对品牌名称出价时,它总是会因为版权原因而被标记。除非您的 AdWords 帐户已被列入白名单。这可以是品牌名称/版权允许代表其在 Google 上投放广告的帐户的 CSV 列表。请参阅此处的表格

因此,除了此处其他答案中解释的技术原因之外,如果不访问您的 adwords 帐户中的该品牌名称,几乎不可能做到这一点。这只能来自一家列入白名单的广告代理商,Target 在某些时候曾信任过他们的 AdWords 管理。或者代表他们被忽视的外包机构。

如果说这个问题有什么所谓的“利用”,那就是这种社会工程,即:代表一个品牌作为认可的“AdWords 代理”进入白名单。

作为背景信息:几年前,我们经常有机会从中国新成立的广告代理商那里购买 AdWords 帐户。中国代理机构已经获得了 AdWords 的访问权限,而且 Google 似乎欣喜若狂地允许他们无限制地创建帐户。滥用 AdWords TOS 的帐户表面上从未被列入黑名单。另一方面,大品牌将他们的 AdWords 帐户管理外包给这些中国代理商,因为他们的管理率实在是太高了。这绝对是您如何获得如此知名品牌的一种可能方案。