سواستفاده هکرها از آگهی گوگل برای سرقت کیف پول های رمزارزی

هکرها از آگهی تبلیغاتی جعلی بازار نهنگ‌ها در گوگل برای فریب کاربران و هدایت آن‌ها به وب‌سایت فیشینگی استفاده می‌کنند تا اطلاعات کیف‌پول‌های رمزارزی آن‌ها را سرقت کنند.

به‌گزارش تک‌ناک، یکی از تبلیغات جست‌وجوی گوگل با ظاهری معتبر برای پلتفرم معاملات ارز دیجیتال «بازار نهنگ‌ها» (Whales Market)، بازدیدکنندگان را به وب‌سایت فیشینگی هدایت می‌کند که تمام دارایی‌های کیف‌پول آن‌ها را به‌سرقت می‌برد. بازار نهنگ‌ها پلتفرمی غیرمتمرکز برای معاملات رمزارزها است که به کاربران کمک می‌کند تا دارایی‌های خود را در سراسر بلاک‌چین‌ها مبادله کنند.

بلیپینگ‌کامپیوتر می‌نویسد که وب‌سایت BleepingComputer گزارشی از آگهی فریبنده در نتایج جست‌وجوی گوگل برای این پلتفرم معاملاتی دریافت کرده است. هنگام جست‌وجوی «بازار نهنگ‌ها» در گوگل، آگهی تبلیغاتی‌ای در بالای نتایج جست‌وجو نمایش داده شد که شامل آدرس‌هایی شبیه به آدرس‌های واقعی این وب‌سایت می‌شد. بر‌اساس آزمایش‌های BleepingComputer، این آگهی در موتور جست‌وجوی بینگ مشاهده نشده است.

تبلیغ گفته‌شده نشانی وب‌سایت www.whales.market را نمایش می‌دهد که نام میزبان معتبری نیست؛ اما دامنه صحیح whales.market است. همچنین با نگه‌داشتن ماوس روی تبلیغ، مشخص می‌شود که لینک به آدرس اینترنتی صحیح https://whales.market هدایت می‌شود.

با کلیک روی لینک، کاربران به وب‌سایت‌های مختلفی هدایت می‌شوند و در‌نهایت، به وب‌سایت فیشینگ با آدرس https://app.whaless[.]market/ می‌رسند. توجه کنید که در دامنه این وب‌سایت، یک حرف s اضافی در کلمه whales وجود دارد.

این وب‌سایت فیشینگ وب‌سایت واقعی بازار نهنگ‌ها را به‌طور کامل کپی می‌کند؛ از‌جمله رابط کاربری معاملاتی آن. بااین‌حال به‌محض اتصال کیف‌پولتان به این وب‌سایت، اسکریپت‌های مخرب تمام دارایی‌های شما را به‌سرقت می‌برند.

پیش از اتصال کیف‌پول خود به وب‌سایت‌های Web3، بررسی دامنه‌ای که در نوار آدرس مرورگر نمایش داده می‌شود، برای تشخیص معتبربودن وب‌سایت بسیار مهم است. اگر به وب‌سایتی برخوردید که حتی کمی غیرمعمول به‌نظر می‌رسد، هرگز کیف‌پول خود را به آن متصل نکنید.

بازیگران مخرب سال‌هاست که از تبلیغات گوگل برای توزیع بدافزار یا هدایت کاربران به وب‌سایت‌های فیشینگ و کلاه‌برداری‌های پشتیبانی فنی سوء‌استفاده می‌کنند. در‌حالی‌که اکثر تبلیغات از دامنه‌هایی شبیه به پلتفرم جعل‌شده استفاده می‌کنند، معمولاً اشتباه تایپی یا خطوطی اضافی دارند که شناسایی آن‌ها را آسان‌تر می‌کند. برخی دیگر از تبلیغات حتی تلاشی برای شبیه‌سازی دامنه واقعی نمی‌کنند و صرفاً امیدوارند کسی به‌اشتباه روی آن‌ها کلیک کند.

تبلیغاتی که نگرانی بیشتری ایجاد می‌کنند، تبلیغاتی هستند که برای پلتفرم‌های جعل‌شده، مانند نمونه بازار نهنگ‌ها، URLهای واقعی را نمایش می‌دهند. سایر برندهایی که تبلیغات گوگل را با ظاهری معتبر جعل کرده‌اند، عبارت‌اند از: Keepass ،‌Home Depot، آمازون، eBay و یوتیوب.

بازیگران مخرب می‌توانند این تبلیغاتِ دارای ظاهر معتبر را با هدایت بازدیدکنندگان به وب‌سایت‌های مختلف براساس آدرس IP یا User Agent مرورگرشان ایجاد کنند. هنگامی‌که این تبلیغات مخرب ساخته می‌شوند، ربات‌های جست‌وجوی گوگل و مایکروسافت برای تأیید وب‌سایت، از URL کلیک روی تبلیغ بازدید می‌کنند.

با‌این‌حال، زمانی‌که وب‌سایت بازیگر مخرب بازدیدکننده‌ای را با استفاده از User Agent یا آدرس IP شناخته‌شده گوگل یا مایکروسافت شناسایی می‌کند، درخواست را به وب‌سایت واقعی که تبلیغ می‌شود، هدایت می‌کند. ازآنجاکه پلتفرم‌های تبلیغاتی صفحه فرود نهایی را وب‌سایتی معتبر می‌بینند، به URL اجازه می‌دهند در تبلیغ نشان داده شود.

باوجوداین، هنگامی‌که بازدیدکننده معمولی روی این تبلیغات کلیک می‌کند، به‌جای وب‌سایت واقعی، به وب‌سایت‌های مخربی هدایت می‌شود که بدافزار یا حملات فیشینگ یا کلاه‌برداری را ترویج می‌کنند. این روش سال‌هاست که کار می‌کند؛ اما گوگل نتوانسته است از نمایش و تأیید آن جلوگیری کند.

درنهایت، باید به این موضوع اشاره کنیم گوگل، تنها شرکتی نیست که تحت‌تأثیر تبلیغات مخرب قرار می‌گیرد؛ چراکه از تکنیک‌های مشابهی نیز در پلتفرم‌های تبلیغاتی مایکروسافت و… استفاده می‌شود.