背景
最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
安全团队:BNQ代币下跌99.46%,请保持警惕:9月19日消息,据CertiK数据监测,BNQ代币下跌99.46%,BSC合约地址:0x06C61725B98F1eF191D41e6B4f1E0aA50Bd465d5。外部账户(EOA)0x7F725收到1.52亿枚BNQ,并以约23.3万USDT的价格出售。部署者销毁75万枚BNQ,请保持警惕。[2022/9/19 7:06:41]
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper,Lido,Stargate,Defillama等。
恶意网站
韩国金融服务委员会:加密货币用户应警惕交易所关闭的可能性:韩国金融服务委员会4月22日发布了一份新闻稿,强调说:“如果加密资产业务运营商不符合特定金融信息法所规定的要求,则该加密业务有可能被关闭。”经修订的《特别金融法》于3月25日生效,该法规定了防止加密资产经营商的义务,现有经营商须在9月24日之前申报。很多人预测,如果《特别金融法》正式适用,大多数交易所将会关门。因为担心等问题,银行很有可能不提供实名账户。金融委员会解释说:“在申报受理期限之前,具备条件对加密资产经营商须向金融信息分析院(FIU)申报,根据情况,将决定哪些加密资产经营者可以继续营业。”(韩联社)[2021/4/22 20:47:52]
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章。
恶意广告主
Bibox:警惕不法分子山寨Bibox APP、冒充Bibox客服进行:官方公告,近日,有不法分子山寨Bibox APP、冒充Bibox客服,诱导用户交易。请用户提高警惕,注意甄别。凡Bibox相关信息,请以官方公告为准,以免造成资产损失。如有发现或仿冒Bibox,请联系Bibox官方客服举报。[2020/6/24]
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
来自乌克兰的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?
来自加拿大的TRACYANNMCLEISH
绕过审核
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况。
参数区分
深圳南山法院提醒:警惕假区块链数字货币:6月9日,深圳南山法院温馨提示广大市民,要警惕假区块链陷阱及陷阱,学会保护自我,切莫被一时的利益迷了心智。 近期,南山法院对李某发等人组织、领导活动罪案进行一审公开宣判,被告人李某发、龙某清、林某明、向某良分别因犯组织、领导活动罪,被判处有期徒刑二年九个月至一年一个月不等的有期徒刑,处十万元至三万元不等的罚金。扣押在案的作案工具龙某清手机二部、林某明手机二部,予以没收,上缴国库。
据悉,该公司的主要经营模式实行会员层级制度。某付公司推广GCB币实行会员层级制度,会员通过上级推荐获得会员资格,会员账户称为“矿机”,下级会员通过向上级会员购买GCB币充值,进矿机进行挖矿从而获得GCB币。(深圳新闻网)[2020/6/10]
比如同样的域名:
gclid参数访问就展示恶意网站
不带就是卖AV接收器的正常页面
gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。
动态 | 二元期权局正渗透至加密领域 投资者需提高警惕:美国证券交易委员会(SEC)和商品期货交易委员会(CFTC)等监管机构近期正着手应对瞄准基金投资者的新一代犯。仅在过去两个月,CFTC就打击了涉资1500万美元欺诈性二元期权计划。注:二元期权是一种高风险的投资策略,通常在线运作,而且很难监管。事实证明,这种局正在渗入加密货币领域,对于许多缺乏经验的投资者来说是需要格外警惕的。据此前消息,美国联邦法院下令要求ATM Coin虚拟货币局被告支付425万美元的罚款。据悉,来自Blue Bit Analytics和G. Thomas Client Services两家公司的被告人在没有在CFTC注册的情况下,非法收取客户资金,从事名为ATM Coin的虚拟货币局。(Atoz Markets)[2019/11/7]
防止调试
同样有些恶意广告还存在反调试:
开发者工具:禁用缓存开启→跳转到正常网站
直接打开→跳转到恶意网站
对比分析我们发现他们是通过请求头cache-control的差异来跳转到不一样的连接,在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于GoogleAds有什么改进办法?
接入Web3Focus的恶意网站检测引擎。
持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。
被盗预估
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约$4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
资金流向
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341
广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在1-2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。