In che modo i phisher "tech-supportcenter" hanno ingannato Google?

277

Correlati: La barra di stato del browser Web è sempre affidabile?

Come può cambiare la ricerca di Google la posizione in un suggerimento URL?

Ho sempre pensato che puoi "passare il mouse" su un link per vedere dove va realmente, fino ad oggi.

Un collaboratore (che lavora da casa) ha cercato "Target" in Ricerca Google (utilizzando il bordo). Ha fatto clic sul risultato principale, che si è trattato di un annuncio, ed è stato reindirizzato a una pagina di phishing in posa mentre Microsoft cercava di fargli chiamare un numero di "supporto tecnico".

Ho ottenuto gli stessi risultati su un altro computer, su una rete diversa. Quando passo il mouse sul link, entrambi i link mostrano "www.target.com" nella parte inferiore, ma facendo clic sul link dell'annuncio ti porta a una pagina di malware e il secondo link (il primo risultato di ricerca dopo l'annuncio) ti porta al vero Target .com.

Se la visualizzazione dell'URL errato nel tooltip richiede Javascript, in che modo tech-supportcenter ha ottenuto il proprio javascript nella pagina dei risultati di ricerca di Google?

ad per

UPDATEEccoglistessirisultatiinunamacchinavirtualeconunanuovainstallazionediWindows,suunaretediversa:

Eccolafonteperl'URL.SembracheincludailJavascript"onmousedown" come prima domanda a cui ho accennato. Google consente agli inserzionisti di visualizzare qualsiasi URL che desiderano per il suggerimento?

    
posta browly 02.06.2017 - 20:21
fonte

3 risposte

204

If displaying the wrong URL in the tooltip requires Javascript, how did tech-supportcenter get their Javascript onto the Google search results page?

I truffatori hanno non di riuscire a iniettare JS nei risultati di ricerca. Sarebbe un attacco di cross-site scripting con implicazioni di sicurezza molto diverse rispetto alla pubblicità ingannevole.

Piuttosto, l'URL di destinazione visualizzato di un annuncio Google non è affidabile e potrebbe nascondere la destinazione effettiva e una catena di reindirizzamenti interdominio. I truffatori hanno probabilmente compromesso un inserzionista di terze parti e hanno dirottato i loro reindirizzamenti per portarti al sito di truffa.

Gli obiettivi di collegamento masking sono una funzione deliberata di AdWords di Google. In genere è possibile specificare un URL di visualizzazione personalizzato per un collegamento di annunci che può essere diverso dal efficace URL finale . L'idea è di abilitare i reindirizzamenti attraverso tracker e domini proxy mantenendo collegamenti brevi e descrittivi. Passando il mouse su un annuncio, verrà visualizzato solo l'URL di visualizzazione nella barra di stato, non la vera destinazione.

Ecco un esempio:

  • Sto cercando "scarpe".
  • Il primo link dell'annuncio visualizza www.zappos.com/Shoes :

  • Quandofaccioclicsudiesso,inrealtàvienereindirizzatopiùvolte:
    https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChXXXXXXXd-6bXXXXXXXXXXXXkZw&ohost=www.google.com&cid=CAASXXXXXp8Yf-eNaDOrQ&sig=AOD64_3yXXXXXXXXXXXXXYX_t_11UYIw&q=&ved=0aXXXXXXHd-6bUXXXXXXXXXwIJA&adurl=--302-->http://pixel.everesttech.net/3374/c?ev_sid=3&ev_ln=shoes&ev_lx=kwd-12666661&ev_crx=79908336500&ev_mt=e&ev_n=g&ev_ltx=&ev_pl=&ev_pos=1t1&ev_dvc=c&ev_dvm=&ev_phy=1026481&ev_loc=&ev_cx=333037340&ev_ax=23140824620&url=http://www.zappos.com/shoes?utm_source=google%26utm_medium=sem_g%26utm_campaign=333037340%26utm_term=kwd-12666661%26utm_content=79908336500%26zap_placement=1t1&gclid=CI3vqXXXXXXXXXXXXXBBA--302-->http://www.zappos.com/shoes?gclid=CI3vXXXXXXXXXXXXXMBBA&utm_source=google&utm_medium=sem_g&utm_campaign=333037340&utm_term=kwd-12666661&utm_content=79908336500&zap_placement=1t1

Ovviamente,Googlehadei requisiti di destinazione rigorosi per i link degli annunci e un cliente ordinario ha vinto ottenere il loro annuncio approvato se impostano il target di collegamento su un dominio completamente diverso. Ma i truffatori occasionalmente trovano modi per aggirare il processo di controllo. Almeno, la politica di Google in merito a "mancate corrispondenze di destinazione" è abbastanza chiara:

The following is not allowed:

  • Ads that don't accurately reflect where the user is being directed [...]

  • Redirects from the final URL that take the user to a different domain [...]

Gli inserzionisti di terze parti fidati possono essere autorizzati a rilasciare reindirizzamenti interdominio, però. Alcune delle eccezioni sono elencate qui , ad esempio:

An example of an allowed redirect is a company, such as an AdWords Authorized Reseller, using proxy pages. [...]

For example:

  • Original website: example.com
  • Proxy website: example.proxydomain.com

We allow the company to use "example.proxydomain.com" as the final URL, but retain "example.com" as the display URL.

Uno dei principali punti deboli è che Google non controlla i redirector di terze parti (nell'esempio sopra, che è pixel.everesttech.net ). Dopo che Google ha esaminato e approvato i loro annunci, potrebbe semplicemente iniziare a reindirizzare a un dominio diverso senza essere immediatamente notato da Google. È possibile che, nel tuo caso, gli aggressori siano riusciti a compromettere uno di questi servizi di terze parti e indirizzato i loro reindirizzamenti al sito di truffa.

Negli ultimi mesi, ci sono stati diversi comunicati stampa su un modello di truffa quasi identico, ad es. questo rapporto su un annuncio Amazon fraudolento il cui URL di visualizzazione indica amazon.com ma reindirizza a una truffa di supporto tecnico simile.

(A questo punto, la tua scoperta è stata rilevata anche da alcuni siti di notizie, incluso BleepingComputer .)

    
risposta data 02.06.2017 - 21:19
fonte
42

Si tratta di un abuso comune nella pubblicità a pagamento (notare l'icona "Annuncio" sulla coda della freccia sinistra).

Gli inserzionisti desiderano monitorare le persone che fanno clic sugli annunci Google, in parte per confermare in modo indipendente la fatturazione dei clic di Google e in parte per distribuire gratuitamente i cookie. Quindi chiedono ai motori di ricerca di inviare utenti a un ClickURL che lo fa, e quindi inoltrano alla destinazione corretta. Il ClickURL potrebbe essere fuori sede, ad esempio presso l'agenzia pubblicitaria.

L'inserzionista desidera fornire un DisplayURL separato, che è semplicemente l'URL mostrato nell'annuncio di testo. Per nascondere il brutto URL dell'agenzia pubblicitaria e per mostrare un URL ben visualizzato , anziché l'URL di destinazione effettivo (che può essere lungo, ad esempio una pagina prodotto specifica). Questo DisplayURL viene abusato dai phisher.

Il motore di ricerca non viene mai fornito l'URL di destinazione (in cui ClickURL deve inoltrare a). Poiché ClickURL è spesso in un dominio diverso da DisplayURL, è difficile da controllare. Target può conservare diversi SEO, ognuno utilizzando un ID Gooogle o un'agenzia pubblicitaria diversi, quindi non c'è niente di strano in un ID Google casuale che pubblica annunci pubblicitari con target.com DisplayURL all'improvviso.

È verosimile che l'inserzionista sia una piccola impresa e sia stato oggetto di phishing: lo spammer ha ottenuto le credenziali dell'utente di Google, ha scoperto un account Google con i dati della carta di credito archiviati e pubblica annunci pubblicitari in cifre.

    
risposta data 03.06.2017 - 04:00
fonte
5

Un aspetto di questa risposta fornita da Arminius è che doveva essere un'agenzia fidata da Target a qualche punto. Perché quando fai offerte sui marchi in AdWords viene sempre contrassegnato per motivi di copyright. A meno che il tuo account AdWords non sia stato autorizzato. Può trattarsi di un elenco di conti CSV che un marchio / copyright consente di pubblicare annunci su Google per suo conto. Vedi il modulo qui

Quindi, a parte i motivi tecnici spiegati in altre risposte qui, è quasi impossibile averlo fatto senza accedere a quel marchio all'interno del tuo account AdWords. E questo può provenire solo da un'agenzia pubblicitaria autorizzata che Target, a un certo punto, si è fidata della sua gestione AdWords. O un'agenzia esternalizzata per loro conto che è stata trascurata.

Se ci fosse un cosiddetto "exploit" per questo problema, allora è questo tipo di ingegneria sociale, vale a dire: entrare in quella whitelist come "agenzia AdWords" accreditata per conto di un marchio.

Come informazioni di base: Alcuni anni fa era comune per noi offrire l'opportunità di acquistare account AdWords dalle agenzie pubblicitarie di nuova costituzione in Cina. Le agenzie cinesi hanno avuto accesso ad AdWords e, apparentemente in uno stato di euforia, Google ha consentito la creazione illimitata di account. Account che hanno abusato del TOS di AdWords e apparentemente non sono mai stati inseriti nella lista nera. Dall'altra parte, i Big Brands stavano esternalizzando la gestione degli account AdWords a queste agenzie cinesi perché i loro tassi di gestione erano semplicemente troppo buoni. Questo è sicuramente uno dei possibili scenari per ottenere l'accesso a un marchio così famoso.

    
risposta data 07.06.2017 - 15:03
fonte

Leggi altre domande sui tag