Phishing AdWords, czyli sezon na leszcza
Całkiem niedawno ostygły w Sieci wiadomości dotyczące wykorzystywania AdWords do dystrybucji oprogramowania maleware, gdy pojawiły się kolejne reklamy w wyszukiwarce Google próbujące ukraść Twój login i hasło.
W zeszłym tygodniu natrafiłam na pewną jednostkę reklamową, która wydała mi się bardzo ciekawa. Głównym jej zadaniem było wyłudzenie hasła i loginu do Twojego konta. Smaku dodał fakt, że reklama imitowała kampanię reklamową samego AdWords prowadzonego przez pracowników Google. Jeszcze gdyby tego było mało wyświetlała się pod słowem kluczowym AdWords
.
Pomysł na phishing AdWords
Pomysł był bardzo prosty dzięki czemu miał duże prawdopodobieństwo skuteczności. Jego autor stworzył na domenie ad-wordsgoogle.com stronę, która naśladowała ekran logowania AdWords i wyglądała następująco:
Po kliknięciu w reklamę, zobaczeniu strony logowania i wpisaniu swojego loginu i hasła użytkownik był przekierowywany na adres adwords.google.com/login/. W rezultacie jeżeli ofiara nie miała zakończonej poprzedniej sesji trafiała bezpośrednio do panelu AdWords. Jeżeli użytkownik był wylogowany pojawiał się oryginalny ekran logowania AdWords. W obydwu przypadkach użytkownik mógł się nawet nie domyśleć, że zostały od niego wyłudzone jego dane.
Jedynym indykatorem oszustwa była domena w linijce adresu reklamy i oczywiście adres docelowy witryny. Spreparowana strona logowania zawierała kilka drobnych różnic w wyglądzie, które z zresztą nie rzucały się zbytnio w oczy.
Powyższy przypadek zgłosiłam do pracowników Google zarówno w Polsce jak i Dublinie. Barry Schwartz z Search Engine Land, z którym podzieliłam się tym znaleziskiem, także dołożył swoją cegiełkę swoją publikacją i spostrzeżeniami.
Usunięcie reklamy
Jeszcze tego samego dnia ok. godziny 18:00 reklama została zdjęta przez Googlerów. Witryna autora jest już niedostępna. Pikanterii sprawie dodaje fakt, że spreparowany ekran logowania hostowany był na serwerach Yahoo! :). Domyślam się, że było to prawdopodobnie darmowe konto WWW udostępniane przez portal.
Barry napisał, że AdWords nie jest idealne – zgadza się. Jednak zawsze podejrzewałam, że wszelkie domeny pierwszego i drugiego rzędu zawierające słowa Google, AdWords czy innych produktów firmy wpadają do filtra dla późniejszego sprawdzenia przez człowieka (jak w przypadku AdSense – ban na AdSense za nazwę domeny). Jak się okazuje kliknięcie w reklamę AdWords nie oznacza jeszcze, że użytkownik wyląduje na bezpiecznej witrynie. Jak widać team AdWords nadal boryka się z problemem obrony swoich użytkowników przed phishingowymi i maleware’owymi witrynami jeżeli zdarzają się takie wpadki w ramach ich własnych produktów.
strach klikać teraz na cokolwiek.. :)
zwłaszcza że dużo banków reklamuje się teraz w Adwords