竟然有人在 Google Ads 下廣告,投放假的 Google Ads 釣魚網站
之前在臉書或是一些社群網站常聽人說在 Google 搜尋看到假的 Google Ads 廣告,以前我是不太相信的!
第一,畢竟在 Google Ads 投放廣告有審核機制,
還有這些科技大廠都狂吹自家 AI 有多強,
廣告服務還是 Google 自家的金雞母,資源肯定少不了,
Google 怎麼可能連仿冒自家品牌的廣告都沒發現?
第二,那些受害者的貼文多半充滿情緒、語焉不詳、過程充滿漏洞,旁人無法重現步驟,沒有完整的截圖與證據。在此之前我都當成:
- 那些人可能瀏覽器或手機裝了不知道啥東西,在瀏覽網頁時,頁面被亂注入內容,或是被強制轉向到其他網站。
- 不知道搜尋什麼關鍵字,點到內容農場的第三方教學網頁,然後再從文章裡面的連結點到假的 Google Ads 網站。
結果有一天我真的看到那個傳說中的 Google Ads 假廣告了,而且還是釣魚網站,就讓我來試試它的葫蘆裡面在賣什麼藥。
臨時找不太到那種貼文,只有找到一篇,可以隨便參考看看:
各位投手、中小企業的老闆 登入 Google ads 後台不要用 Google 搜尋,因為你很可能不小心進入假的登入網站,然後登入資料就被騙走了...
2024/11/25 https://www.threads.net/@rover_liao/post/DCx_fpjyhV3
這文章主要目的就是做個小小的紀錄,看看這個假的 Google Ads 裡面有設計什麼好玩的流程,
沒有仔細研究人家的程式,沒有檢舉,沒有想要擋誰的財路...
Google Ads 假廣告與它的「轉換」流程
1.搜尋 Google Ads,運氣好的話可以看到那個假貨的關鍵字廣告,顯示網址跟最終到達網址是一個 Google 協作平台的子網域名稱(sites.google.com)。
2.廣告投放帳號,看起來是一個台中的網頁設計公司的個人帳號,帳號底下還有 10 幾組廣告在跑。
不知道是不是帳號被盜...?
從 Google 廣告資訊公開中心(Google 廣告檔案庫) 可以找到這個廣告主其他還在跑的廣告。
3.點進去是一個看似 Google Ads 的頁面,但是右上角的「登入」「立即開始」連結都不是 Google 官方正常的連結。
4.用 iframe 包了一個假網站(下面會講這是 Google Sites 的什麼功能),讓人看到一個山寨 Google 登入畫面的頁面。
5.輸入帳號(email)、密碼、再一次輸入密碼之後,流程就結束了。
錯誤訊息還是簡體中文的? 釣魚頁面上的忘記密碼跟下一步都不能點,流程就此中斷。
這時候不法集團已經貼心的幫大家把輸入的帳號密碼異地備份了
反正如果有人真的輸入帳號密碼,到這邊已經完成轉換了👌
如果多搜尋幾次,還可以看到連廣告顯示網址都改成 https://ads.google.com 的盜版廣告,網址看似正確,但是:
- 把滑鼠移過去廣告文案,左下角狀態列網址都是 https://sites.google.com 開頭的協作平台網址。
- 點擊三個點的圖示,查看廣告主資訊,都是一些世界各地的謎之公司,不是 Google LLC。
- 點擊廣告後會前往 Google 協作平台的網站,不是正牌的 Google Ads 網站。
而且顯示網址比對後還真的是同一字元,不是那種像 2017 年的 Phishing with Unicode Domains 案例,當年那個案例是使用 Cyrillic script 的特殊字元和某些瀏覽器對於顯示 punycode 的設定漏洞,網址列看起來明明是 аpple.com,但其實是完全不同的網域名稱。
現代的瀏覽器對於瀏覽 xn--80ak6aa92e.com 這種,網址列會直接顯示 punycode ,如果剛好和知名網站相同,還會有警告視窗(選取 xn--80ak6aa92e.com 之後按右鍵,選擇「前往 xn--80ak6aa92e.com」,就能看到警告畫面了)。
然後這些山寨釣魚廣告的廣告主,底下通常還有很多怪怪的廣告在跑,例如假的 Google Chrome 瀏覽器下載網站,都不知道有多少人上當受騙。
騙 Google 帳密有什麼用?
Google 已經在 2021~2022 年間,強制每個帳號都要啟用兩步驟驗證(2FA/2SV),光是拿到帳號密碼是無法登入的,詐騙集團拿到帳密之後能幹嘛?
我想了想,可能還是有以下用途
- 蒐集有效的好騙 email 名單,會用 Google Ads 的人竟然沒有把 Google Ads 加到書籤或是釘選在瀏覽器,還無法輕易察覺自己正在操作釣魚網站。
- 撞庫攻擊,可能有其他網站使用此組帳密,可以登入試試看。
- 從瀏覽器或系統漏洞偷取資訊? 不過看頁面上的程式碼沒有特別寫到下載執行東西,或是讀取 cookies/localstorage 的部分。不過我只是隨便看一下,沒有換各種作業系統去測試啦。
- 社交工程,例如寄信說帳號發生問題,點擊附件查看合作細節...或各種話術,引導使用者做其他操作。
- 搞不好輸入真的帳密,會跳到詐騙集團做的填寫驗證碼的畫面,然後使用者輸入驗證碼之後,壞人就把帳號接管走? 技術上應該是可行的。
實際檢查釣魚頁面上的 js 程式,也確實有寫到輸入簡訊驗證碼/Google Authenticator 的部分:
- 它在 js 中宣告幾個全域變數,然後有一個 setInterval 每秒都會執行一段程式。
- 當使用者在釣魚頁面輸入的帳密密碼送到它的後端程式處理之後,就會依照回覆結果,變更全域變數的值。
- 每秒執行一次的程式吃到對應的值,釣魚頁面就會顯示驗證碼輸入畫面/手機號碼輸入畫面,
- 最後使用者輸入驗證碼、送出之後,會停在「驗證碼錯誤,請再試一次。」的畫面,但這時候 Google 帳號應該已經被接管走了...
因為我在測試時帳密是亂打的,所以會卡在第 2 步,不知道輸入真的帳密能不能用?
如果輸入真的帳密,然後帳號被騙走,其他裝置的帳號還沒被強制登出的話,使用者正常情況會收到「新裝置登入帳號」之類的郵件通知。但甚至連這封信也可以造假,點進去叫人輸入備用帳號資訊或提供證件,再騙一次。
當然壞人也不一定要把帳號整個搶過來,例如就像上面發現的案例一樣,還偷偷用別人的帳號投放廣告...
這只是寫文章當下時的檢查結果,下一秒人家馬上換一個新版本的程式,就不一定了。
其他機構的研究
後續 2025/1/15 有看到一個國外資安研究機構 Malwarebytes Labs 也針對這個 Google Ads 仿冒網站的案例進行研究,完整全文可以參考這邊:The great Google Ads heist: criminals ransack advertiser accounts via fake Google ads
簡單摘要一下:
- 他們檢舉了至少 50 組 Google Ads 釣魚詐騙廣告,廣告主資訊有來自世界各國的公司
- 從那些釣魚網站的表單程式碼中,發現有中文拼音或葡萄牙文的程式註解
- 在多層轉址中使用一些線上服務(網址的 Favicon 有某些服務的預設 icon)
- 設定廣告時,雖然系統有規定顯示網址與到達網址要一樣(註1),但是只要用相同網域名稱(sites.google.com 跟 ads.google.com 都是 google.com),就可以繞過限制。
- Webex 會議軟體也曾出現這種關鍵字假廣告,在國外的案例研究中(PSA: Ongoing Webex malvertising campaign drops BatLoader)有提出另一個手法,設定廣告時使用「追蹤範本」功能,另外設一個轉址頁,然後只要碰到 Google Ads bot 就轉到正常網站,使用者就轉到詐騙網站。
Malwarebytes Labs 的官網部落格文章中,還有另一個令人相當沮喪的研究案例,他們發現 Google 有一組關鍵字廣告,廣告標題是 "PayPal Customer Support, 24/7 Support" 之類的,點進去是假的 PayPal 釣魚網站,但是檢舉了幾十組廣告,經過了三個多月,同一組廣告客戶 ID還在持續投放各種詐騙廣告。
註1:Meta 廣告允許使用縮網址服務來投廣告,然後另外設一組廣告顯示網址。有些投手為了怕改網址會讓廣告重新審查,或是廣告點進去的東西賣光,不方便抽換,或是為了其他行銷追蹤用途,會使用縮網址服務來投放廣告,這個細節玩法很多。而 Google Ads 的廣告不給人直接使用縮網址服務設定在「最終到達網址」欄位。
使用者可以如何檢查與預防關鍵字廣告中的假網站?
Google 關鍵字廣告出現山寨假網站,其實不是什麼新鮮事,之前有一大票加密貨幣相關的都被這招玩過,幣圈仔聽到別人討論什麼發財項目,到 Google 搜尋,看到最上面有一筆名稱好像是對的,進去授權錢包,然後加密資產就不見了。
隨便一搜尋還能找到 3 個月前的案例 Scammers Exploit Google Ads with Fake Uniswap L2 Site Amid Unichain Testnet Launch,利用知名的 Uniswap 來拐騙。
如果擔心碰到了假的 Google 網站,要如何辨認:
- 查看廣告主資訊
點關鍵字廣告旁邊的三個小點點圖案,查看廣告主資訊(例如上上段第2點擷圖的那些資訊),雖然這操作流程聽起來很不現實,一般人點廣告之前,哪還會先看一下廣告主資訊? 點了廣告之後再按回上一頁,也不見得能找到同一條廣告,但這大概是最簡單也最準的方式... - 與正常操作流程不同
如果真的在常用的瀏覽器上登入,又有好幾組 Google 帳號,那個登入畫面第一步應該是選擇 Google 帳號的畫面... - 瀏覽器自動填入帳密沒生效
如果是有用瀏覽器自動記憶密碼之類的,那個機制是認網域名稱的,到 Google 登入畫面卻沒自動填上帳號,那就有問題了。 - 網域名稱就不對呀
不過有些人可能無法輕易分辨 google.com 跟 goog1e.com 跟 login.wwwgoogle.com 哪一個是假的,而且有些瀏覽器 UI 還會把網域名稱顯示成好像不太重要的東西。 - 網域名稱就不對呀之2
正常的 Google 登入頁面(https://accounts.google.com/) 有設定 HSTS 為includeSubDomains,無法被嵌入到隨便的外部網站。(沒有設 CSPframe-src,也沒有在 meta 或 header 放X-Frame-Options),所以看到 Google 登入畫面,但網址不是 https://accounts.google.com/ 開頭,通常有問題。
沒事就到 「查看具有帳戶存取權的裝置(https://myaccount.google.com/device-activity)」跟「帳戶與第三方之間的連結(https://myaccount.google.com/connections)」檢查一下 Google 帳號有沒有在奇怪的裝置登入,有沒有授權給奇怪的程式?
尤其現在有些人開始玩 make, n8n 之類的玩意,為了讓自動化程式讀取 email 與日曆,在雲端硬碟寫入檔案,常常給出了很多帳號權限,還有聽從陌生人指示在 GCP 開專案,開通授權一堆 API...
不能當作關鍵字詐騙廣告辨認準則的:
❌Google Ads 沒有廣告
Google 當然也有幫自己的 Google Ads 投廣告(如下圖),是用美國公司 Google LLC 的名義驗證的。
然後假如兩個不同廣告帳號卻投放宣傳同一個網站,這又跟其他廣告規範(使用多個帳號宣傳相同的內容,不公平的優勢)和代理商規範衝突,理論上是不會發生的。
Google Ads 也有在競爭對手的 Meta 上面投廣告,還有中文的廣告,可以參考Facebook 廣告檔案庫 - Google Ads
❌廣告主資訊是一個不知道什麼的公司或人名
這不能當成是詐騙廣告...常見的三種情況:
- 廣告主資訊顯示行銷公司的名稱,或是任何有從事代投放服務的公司名稱。
- 廣告主資訊顯示使用個人名稱來驗證,有些可能是外包的兼差投手,或是一些企業主自己的名字。
- 「品牌名稱」是一回事,品牌背後負責管銷的「公司的註冊名稱」或「區域代理商的公司註冊名稱」通常又是另一個名稱。
這個廣告出資者資訊設計上立意是好的,但 VTuber 自己投放 YouTube 廣告,可能會洩漏中之人的名字...
- Japan To Force Vtubers To Give Out Personal Info, Google Reveals IP Location, HoloMyth 2 Years
- 【悲報】VtuberさんYouTube広告で身バレ確定【Vtuberクエスト】
這種釣魚網站騙得到搞數位行銷的人嗎?
各行各業可能都有這種釣魚網站,只是會用到 Google Ads,這種做數位行銷的人,應該對這些事情的敏感度更高才對? 這可能是外人的幻想。
會用到 Google Ads 也不一定是做數位行銷的,也有可能是萬能的行銷企劃廣告投放美編素材製作影片剪輯網頁設計出貨包裝線上客服社群經營打雜工人,也有可能是一人公司...。
確實近年一些詐騙手法是專門針對零售電商業者的,搞得大家焦頭爛額,讓大家都經過充足的訓練:
- email 附件詐騙(是病毒)
- 商品售後問題檔案詐騙(是病毒)
- 蝦皮/交貨便賣場失效詐騙(騙店家到其他網頁上傳個資/轉帳驗證)
- 一頁式假團購假賣場(店家被盜圖或假借品牌名義開假電商)
- 假裝消費者/假裝要合作私訊(傳可疑連結,騙人安裝不明軟體或亂輸入帳密)
- 假裝成電商平台/假裝成金流服務(通知店家依照指示操作)
各種被騙的慘痛案例還是層出不窮。還是要提升自己,否則不管怎麼提醒跟宣導,會中招的就是會被中招,可能就忙碌時一時昏頭,Google 廣告有嚴格審查,Google Chrome 瀏覽器都會紅底畫面提示釣魚網頁,Google 這麼安全,還會有漏網之魚嗎?.........還真的有喔。
這問題該怪誰?
Google 搜尋引擎出現詐騙廣告,是誰的問題?
Google 是國外公司,系統要怎麼設計不用看政府的臉色。當地法規也沒特別管這種事情。
投放 Google 廣告甚至不用註冊台灣公司、營業登記,只要有 Google 帳號和信用卡就可以了。除非是某些特殊行業,例如金融相關的 Google 會要求廣告帳號需要 A2 金融驗證,或是其他行業也有可能被系統要求做廣告主驗證計畫程序。
一般使用者、老百姓上網看到有問題的廣告,頂多照著流程來...
- 在上面步驟 2 的廣告主資訊中,按下檢舉,回報給 Google,被動等待處理。
- 如果想要政府的 DNS RPZ 讓台灣網路停止解析該網址,那也要有人去刑事警察局報案,然後等待人工處理。
Google 協作平台不管? Google Ads 不審查?
有哇,Google 都有在抓,時不時都有人被誤判,被意外關站,或廣告中了文字獄或 AI 審查,被拒登的。
Google 協作平台可以方便做出釣魚網站/山寨登入頁?
Google 協作平台雖然提供簡易的架站功能,但是表單只能嵌入 Google 表單,沒辦法輕鬆做出 1:1 像素級模仿的登入畫面。
剛剛稍微分析山寨 Google 登入頁面的程式,這是放在另一個獨立的網站上,不是在 Google 協作平台做的,只是用內嵌功能把做好的網站包到 Google 協作平台裡面。
Google 協作平台直接有提供一個「整頁嵌入」的功能,把做好的網址貼上去就好了,不需要自己辛苦寫 CSS 設定寬高 100%、畫面滿版之類的。
因為 Google 協作平台可以綁自己的網域名稱,如果前端頁面看到某些特徵 https://www.gstatic.com/atari/embeds/******/intermediate-frame-minified.html? 之類的程式路徑,可能也是這種利用合法平台包一層問題網頁的玩法。
雲端服務廠商不管?
操作時發現釣魚網站 iframe 包的那個山寨 Google 登入程式,有用了一家雲端服務,雖然不知道是只套了一層 CDN,還是連 Serverless 跟 DB 服務都用他們家的。
這些服務商會如何去檢查客戶的使用情況? 不知道。
查看雲端服務廠商提供的濫用檢舉表單,又發現有趣的事,即使填的是 Phishing&Malware 類,表單預設會勾選「把聯絡資訊傳給網站管理員(Include my name and contact information with the report to the website owner)」,萬一一個不小心,就把自己的聯絡資訊傳給壞人了😂😂
跟本地或海外合法業者租用「傳統的伺服器/電信機房服務」通常前期有各種開辦費用、還要預繳一定時間的費用之類的,要做壞事的啟動摩擦比較大。而某些公有雲/SaaS 服務的型態,通常是註冊時綁一張信用卡,試刷個幾塊錢,然後就可以開始用了,下個月再結帳,除非有一些特殊服務或高用量,要再另外申請開通,更有機會被有心人士拿來做奇怪的用途。
自由的結果下,搞得現在不少雲端服務也都要嚴格 KYC,還有可能證件上傳後莫名其妙就被註銷帳號。但終究是抓不勝抓,好好做事的基層人員要做的事越來越多,壞人還是有很多方法讓一個網站跑起來。
域名黑名單? 瀏覽器打開時應該要跳紅色警告畫面?
有人可能會想到,有像 Scam Advisor 那種網址貼進去,會做檢查的網站?
不過因為這個網站用了頁框,不管到哪一頁,網址都是一樣的 Google 協作平台網址,所以也沒辦法檢查。
除非知道怎麼撈出包在頁框裡面的網址,不然要把全世界的 Google 協作平台網站都封鎖起來嗎?
有人可能想到,瀏覽釣魚網頁,Google Chrome 瀏覽器會有紅底畫面提示?
之前有一次網頁案件,校對時使用那種免費暫時網址,然後到了某些頁面名稱,會跳出瀏覽器的紅色警告畫面,但又不是每台電腦、每一次都會跳出警告? 查了一些 Google Safe Browsing 的資料,才發現這機制可能沒有那麼美好,更不是詐騙集團把釣魚網頁做好,全世界的安全名單就會馬上憑空偵測到。
這種名單通常要等人去檢舉,或網頁爬蟲爬到,然後等業者更新名單,是非常曠日費時,想要依賴這種不知道何時更新的名單,或是時有時無還會自動亂偵測的主動式防禦? 不要有太大期待。
真的域名進黑名單,壞人也就換一個域名或子域名就好...
詐騙集團應該很精實,不是那種決定網域名稱要取什麼/要在哪邊買,走請款和購買流程,就過了好幾個月,或是說案件很急,但是每次等開會要等好幾個月的「高效率」企業吧?
結語
網路真是太危險了。
在這個案例下,我覺得不要檢討被害人,因為詐騙關鍵字廣告文案沒有說「保證成效」「投廣告保證成交」「保證爆單」「轉換率100%」之類的呀? 被騙進去的人不是貪圖什麼小便宜或離譜的承諾或優惠,一定要抓戰犯的話,還是先怪系統的廣告審核機制有待改善好了。
對於詐騙廣告,隔壁棚 Meta 則是在 2025 年祭出企業商家使用說明 - 如何針對鎖定特定市場投遞廣告的個人或組織驗證其建立者、出資者或受益者身分,想要投放 FB/IG 廣告給台灣和新加坡地區民眾,廣告帳號必須要實名認證,沒認證過的廣告帳號,2025/1/6 之後廣告會被系統強制下架。而且以後還會在 FB/IG 廣告旁邊顯示出資者名稱。
這個規定可能讓 FB/IG 上奇怪的詐騙廣告少一點,但我還是不太看好。
以本文案例,Google 廣告也是有顯示廣告主/出資者資訊/政治廣告投放金額的相關機制呀,而且 Google 廣告這麼多審核手段,實際上可能還是會看到一堆詐騙廣告,什麼律師團/反詐騙組織/駭客幫人討回被詐騙的金錢...這種,還有 YouTube 廣告有各種投資群組什麼的(有訂閱 Youtube Premium 的人可能已經跟社會脫節了,沒看過這種廣告),對岸的公司也可以用其他海外公司名義來台打廣告。
然後一些賣課程的大師,在這年頭不是最喜歡講 AI Agent 以後可以幫人自動上網點餐訂機票?
以後詐騙網站可能騙不到人類,但 AI 程式也許有機會被搜尋引擎的山寨廣告騙到,到釣魚購物網站自動幫人輸入帳密......然後人類還要問 ChatGPT 說「叫 AI Agent 上網購物結果帳號都被盜走了,你有什麼頭緒嗎?」