ORA:谷歌搜索广告钓鱼已导致400万美金被盗

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。

恶意广告

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。

定向品牌

Dora Factory启动KSM平行链代币迁移:4月3日消息,Dora Factory Kusama平行链租约在UTC时间2023年4月17日到期,将1:1迁移所有DORA-KSM链上token至以太坊主网。此次迁移使得DORA-KSM持币用户可以接触以太坊DORA的流动性,并且得以参与到广泛的DORA社区活动和token使用场景中。Dora Factory Kusama平行链上的持币用户需要在14天内完成以太坊地址注册工作。[2023/4/3 13:42:01]

通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper,Lido,Stargate,Defillama等。

zapperwebapp-zapper.com,appfi-zapper.comlidolido.isstargatestargate-finances.onlinedefillamadefeilllama.com,defllllama.comorbiterfinanceorbitered.financeradiantradiantcapital.info

恶意网站

Web3游戏初创公司Giga Fun Studios完成240万美元种子轮融资:1月12日消息,印度Web3游戏初创公司GigaFunStudios宣布完成240万美元种子轮融资,Lumikai基金领投,Fireside Ventures、AllIn Capital、Kettleborough VC和Riverwalk Holdings、以及社交游戏公司Zynga高管KrishnenduMukherjee等天使投资人参投。新资金将用于为印度和全球用户设定休闲游戏的新标准。[2023/1/12 11:08:29]

打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件,你会得到实时的风险提醒。

目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章

恶意广告主

麦当劳开始在瑞士卢加诺市接受比特币支付:金色财经报道,麦当劳在瑞士的卢加诺市开始接受比特币作为支付方式。Bitcoin Magazine在推特上分享了一段在当地麦当劳点餐的视频,视频显示在收银台付款机器上有比特币和Tether符号标志。

2022年3月,该市与Tether Operations Limited签署了一份谅解备忘录,启动了一个“B计划”项目。根据这个计划,Tether创建了两个基金。第一个是1.06亿美元,用于加密货币初创企业的投资池,第二个是大约300万美元,试图鼓励全市的商店和企业采用加密货币。(Cointelegraph)[2022/10/4 18:39:14]

通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:

来自乌克兰的?ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?来自加拿大的TRACYANNMCLEISH绕过审核

通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况

参数区分

印度央行将与公共银行和金融科技公司启动CBDC试点,美国FIS将参与:金色财经报道,印度央行——印度储备银行宣布将与公共银行和金融科技公司启动CBDC试点,目前正处于谈判阶段,报道称,印度储备银行正在与公共部门银行印度国家银行、旁遮普国家银行、印度联合银行和巴罗达银行就参与试验进行谈判,印度政府在这几家银行的持股比例均超过50%。据悉,这项试点预计在本财年发布央行数字货币之前进行,据悉美国金融公司FIS也将参与本次试点,该公司正在为印度央行提供咨询服务。[2022/9/6 13:10:38]

比如同样的域名:

gclid参数访问就展示恶意网站不带就是卖AV接收器的正常页面gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。了解更多

防止调试

产业人才培训机构灯火教育正式上线:6月16日消息,奔跑财经联合中企链云共同打造的中小企业在线学习综合服务平台、首批产业人才培训机构—灯火教育正式上线。平台汇聚经济学、管理学、信息技术、区块链等领域最顶级的专家和实践者,注重培养终身学习习惯。灯火教育构建基层专业人才四大培训模块,多形式提供不同层次的区块链课程,推出NFT、DeFi、元宇宙等新赛道的学习资源。同时,学员可通过灯火教育报考获取区块链应用开发工程师等职业资格证书。[2022/6/16 4:31:43]

同样有些恶意广告还存在反调试:

开发者工具:?禁用缓存开启?→跳转到正常网站直接打开→跳转到恶意网站

对比分析我们发现他们是通过请求头?cache-control?的差异来跳转到不一样的连接,在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。

那么对于GoogleAds有什么改进办法?

接入Web3Focus的恶意网站检测引擎。持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。被盗预估

为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约$4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。

数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats

资金流向

通过分析几个比较大的资金归集地址,有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。

几个较大的资金归集地址:

0xe018b11f700857096b3b89ea34a0ef5133963370

0xdfe7c89ffb35803a61dbbf4932978812b8ba843d

0x4e1daa2805b3b4f4d155027d7549dc731134669a

0xe567e10d266bb0110b88b2e01ab06b60f7a143f3

0xae39cd591de9f3d73d2c5be67e72001711451341

广告投入估算

根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在?2左右。

链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。

基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

总结

通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。

希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!

最后感谢?23pds@SlowMist,?@Tay,?bax1337@ConvexLabs,,?ZachXBT,?SunSec,??Teddy@Biteye?的Review!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:46ms0-1:157ms