最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
a16z公布首批Optimism代表名单,含GFX Labs和6所高校学生社团:2月15日消息,a16z宣布代表a16z参与投票的Optimism基金会第一批代表名单,名单由7名代表组成,包括GFXLabs以及南加州大学、卡耐基梅隆大学、普渡大学、北卡罗来纳州立大学、佐治亚理工学院、东北大学6所高校的区块链协会。每位代表将获得100万枚OP委托授权,预计在3月底前完成。
a16z网络运营官Ross Shuel表示,a16z根据9个关键标准对潜在代表进行评估,并与被选代表签署法律协议,不会控制委托投票,如果没有罕见的法律例外,委托授权将至少维持6个月。目前,a16z第二批Optimism代表已开放申请。[2023/2/15 12:08:17]
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper,Lido,Stargate,Defillama等。
zapperwebapp-zapper.com,appfi-zapper.comlidolido.isstargatestargate-finances.onlinedefillamadefeilllama.com,defllllama.comorbiterfinanceorbitered.financeradiantradiantcapital.info
Argo Blockchain原CEO将辞去CEO和临时董事长职位:金色财经报道,比特币矿企Argo Blockchain宣布董事会变更,Peter Wall将辞去首席执行官兼临时董事长一职,Argo打算聘请一家猎头公司来协助聘用首席执行官,董事会已任命首席运营官SeifEl-Bakly为临时CEO。Peter Wall同意在未来三个月内继续担任Argo顾问,以支持过渡。Matthew Shaw被任命为董事会主席。[2023/2/9 11:57:04]
恶意网站
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章
迪拜多种商品交易中心现入驻 500 多家加密初创公司:1月10日消息,迪拜多种商品交易中心(DMCC)发布报告称,2022 年有 3049 家企业落户迪拜,环比增加 23%。DMCC 表示,这主要是由于国际需求、DMCC 在关键商品领域的持续工作以及区块链和 Web3 企业对 DMCC 加密中心空间不断增长的需求推动的。目前该加密中心入驻了 500 多家公司。DMCC 是迪拜贸易专用自由区,为初创企业提供税收减免和其他优惠,于 2021 年推出加密中心(DMCC Crypto Center)。[2023/1/10 11:04:53]
恶意广告主
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
来自乌克兰的?ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?来自加拿大的TRACYANNMCLEISH绕过审核
美国说唱歌手Lil Baby承认因加密货币损失数百万美元:10月21日消息,美国说唱歌手Lil Baby在最近的一次采访中表示,在加密货币投资中损失数百万美元。(BeinCrypto)[2022/10/21 16:34:47]
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况
参数区分
比如同样的域名:
gclid参数访问就展示恶意网站不带就是卖AV接收器的正常页面gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。了解更多
防止调试
Moonbeam Network:三箭资本仅是Moonbeam基金会资金管理服务的多个提供商之一:7月19日消息,Moonbeam Network官方表示,Moonbeam与三箭资本签订了贷款协议,作为流动性和资金管理服务的一部分。基金会预计这不会对其持续的业务运营产生有意义的影响。三箭资本是基金会用于此类管理服务的多个提供商之一,贷款协议仅代表基金会账户的一部分。
此前消息,三箭资本欠Moonbeam基金会超2700万美元。[2022/7/19 2:24:05]
同样有些恶意广告还存在反调试:
开发者工具:?禁用缓存开启?→跳转到正常网站直接打开→跳转到恶意网站
对比分析我们发现他们是通过请求头?cache-control?的差异来跳转到不一样的连接,在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于GoogleAds有什么改进办法?
接入Web3Focus的恶意网站检测引擎。持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。被盗预估
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约$4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
资金流向
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef5133963370
0xdfe7c89ffb35803a61dbbf4932978812b8ba843d
0x4e1daa2805b3b4f4d155027d7549dc731134669a
0xe567e10d266bb0110b88b2e01ab06b60f7a143f3
0xae39cd591de9f3d73d2c5be67e72001711451341
广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在?2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
最后感谢?23pds@SlowMist,?@Tay,?bax1337@ConvexLabs,,?ZachXBT,?SunSec,??Teddy@Biteye?的Review!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。