Cyberkriminelle haben einen sehr kreativen Weg gefunden, um Anzeigen zu erstellen, die nicht auf den ersten Blick erkennbar sind, komplett gefälscht sind und darauf ausgelegt sind, Daten zu stehlen. Auf das ernste Problem wurden die Sicherheitsforscher von MalwareBytes aufmerksam gemacht, die auch genau aufgedeckt haben, wie der Betrug funktioniert.
Der Angriff, der eine sehr ernste Bedrohung darstellt, basiert im Wesentlichen auf Google-Suchanzeigen, die von den Hackern selbst erstellt wurden, und ist ziemlich trickreich, da es auf den ersten Blick so aussieht, als ob es sich um eine spezielle Anzeige handelt, die von Google herausgegeben wird, um die Google Ads-Plattform zu bewerben, aber in Wirklichkeit handelt es sich um gefälschte Inhalte.
Die Hacker haben nämlich ein Schlupfloch in den geltenden Vorschriften gefunden, das sie effektiv ausnutzen können. Standardmäßig sollte eine Anzeige keine URL enthalten, die nicht mit dem Domainnamen der endgültigen Seite übereinstimmt, um einen Missbrauch durch böswillige Inserenten zu verhindern, aber es gibt jetzt Anzeichen dafür, dass die Regeln umgangen werden können. Die Hacker kopieren die Adresse der bei Google Sites registrierten Website in die Anzeige, so dass sie ads.google.com für den Link in der Anzeige verwenden können, da der endgültige Link in derselben Domäne liegt, in der der ahnungslose Nutzer nach dem Klick landet.
Sobald der Inserent erfolgreich ausgetrickst wurde, kann auf das Google Ads-Konto zugegriffen werden. Da Privatpersonen und Unternehmen, die Google Ads nutzen, in der Regel keine Werbeblocker verwenden, um ihre eigenen Anzeigen oder die der Konkurrenz zu sehen, können sie die von den Hackern sorgfältig gestalteten Anzeigen sehen und darauf klicken, um das ahnungslose Opfer glauben zu lassen, dass es soeben die Google Ads-Seite betreten hat, da die Täuschungsseite dem Original täuschend ähnlich sieht. Wenn das vermeintliche Opfer seine Anmeldedaten auf dieser Seite eingibt, sammelt ein Phishing-Algorithmus sie, fügt eindeutige Kennungen und Cookies hinzu und versucht dann, in das Google Ads-Konto des Nutzers zu gelangen.
Wenn das Opfer keine Vorsichtsmaßnahmen ergreift, fügen die Hacker dem Google Ads-Konto einen neuen Administrator mit einer anderen GMail-Adresse hinzu und versuchen dann, den ursprünglichen Besitzer auszusperren, wenn sie können. Ein erfolgreicher Angriff und die erfolgreiche Übernahme des Google Ads-Kontos kann mehrere Folgen haben: Einerseits kann der Angreifer das verfügbare Budget nutzen, um weitere Anzeigen zu schalten, oder andererseits kann das Konto verkauft und für illegale Zwecke verwendet werden, beispielsweise als Teil einer neuen Datendiebstahlkampagne.
Das folgende Flussdiagramm veranschaulicht den Trick sehr gut:
Das Google-Team hat in einer Antwort an Bleeping Computer bestätigt, dass sie ein wachsames Auge auf ähnliche Betrügereien haben und Anzeigen, die darauf abzielen, Nutzer zu täuschen, ihre Daten zu stehlen oder sie sogar zu betrügen, ausdrücklich verbieten. Die Entwickler untersuchen aktiv das oben beschriebene Problem und tun ihr Möglichstes, um eine schnelle Lösung zu finden, um ähnliche Fälle zu verhindern. Es ist bezeichnend, dass das Google-Team im Jahr 2023 insgesamt 206,5 Millionen Anzeigen, die gegen die Richtlinien für irreführende Werbung verstoßen, entfernt oder blockiert hat. In der Zwischenzeit wurden mehr als 5,6 Millionen Konten von Werbetreibenden gesperrt, 3,4 Milliarden Anzeigen wurden entfernt und 5,7 Milliarden Anzeigen wurden eingeschränkt.
Dies zeigt, dass das Anzeigenverwaltungssystem noch verbesserungswürdig ist, da Hacker immer kreativere Wege finden, um Daten zu stehlen.
