هکرها از آگهی تبلیغاتی جعلی بازار نهنگها در گوگل برای فریب کاربران و هدایت آنها به وبسایت فیشینگی استفاده میکنند تا اطلاعات کیفپولهای رمزارزی آنها را سرقت کنند.
بهگزارش تکناک، یکی از تبلیغات جستوجوی گوگل با ظاهری معتبر برای پلتفرم معاملات ارز دیجیتال «بازار نهنگها» (Whales Market)، بازدیدکنندگان را به وبسایت فیشینگی هدایت میکند که تمام داراییهای کیفپول آنها را بهسرقت میبرد. بازار نهنگها پلتفرمی غیرمتمرکز برای معاملات رمزارزها است که به کاربران کمک میکند تا داراییهای خود را در سراسر بلاکچینها مبادله کنند.
بلیپینگکامپیوتر مینویسد که وبسایت BleepingComputer گزارشی از آگهی فریبنده در نتایج جستوجوی گوگل برای این پلتفرم معاملاتی دریافت کرده است. هنگام جستوجوی «بازار نهنگها» در گوگل، آگهی تبلیغاتیای در بالای نتایج جستوجو نمایش داده شد که شامل آدرسهایی شبیه به آدرسهای واقعی این وبسایت میشد. براساس آزمایشهای BleepingComputer، این آگهی در موتور جستوجوی بینگ مشاهده نشده است.
تبلیغ گفتهشده نشانی وبسایت www.whales.market را نمایش میدهد که نام میزبان معتبری نیست؛ اما دامنه صحیح whales.market است. همچنین با نگهداشتن ماوس روی تبلیغ، مشخص میشود که لینک به آدرس اینترنتی صحیح https://whales.market هدایت میشود.
با کلیک روی لینک، کاربران به وبسایتهای مختلفی هدایت میشوند و درنهایت، به وبسایت فیشینگ با آدرس https://app.whaless[.]market/ میرسند. توجه کنید که در دامنه این وبسایت، یک حرف s اضافی در کلمه whales وجود دارد.
این وبسایت فیشینگ وبسایت واقعی بازار نهنگها را بهطور کامل کپی میکند؛ ازجمله رابط کاربری معاملاتی آن. بااینحال بهمحض اتصال کیفپولتان به این وبسایت، اسکریپتهای مخرب تمام داراییهای شما را بهسرقت میبرند.
پیش از اتصال کیفپول خود به وبسایتهای Web3، بررسی دامنهای که در نوار آدرس مرورگر نمایش داده میشود، برای تشخیص معتبربودن وبسایت بسیار مهم است. اگر به وبسایتی برخوردید که حتی کمی غیرمعمول بهنظر میرسد، هرگز کیفپول خود را به آن متصل نکنید.
بازیگران مخرب سالهاست که از تبلیغات گوگل برای توزیع بدافزار یا هدایت کاربران به وبسایتهای فیشینگ و کلاهبرداریهای پشتیبانی فنی سوءاستفاده میکنند. درحالیکه اکثر تبلیغات از دامنههایی شبیه به پلتفرم جعلشده استفاده میکنند، معمولاً اشتباه تایپی یا خطوطی اضافی دارند که شناسایی آنها را آسانتر میکند. برخی دیگر از تبلیغات حتی تلاشی برای شبیهسازی دامنه واقعی نمیکنند و صرفاً امیدوارند کسی بهاشتباه روی آنها کلیک کند.
تبلیغاتی که نگرانی بیشتری ایجاد میکنند، تبلیغاتی هستند که برای پلتفرمهای جعلشده، مانند نمونه بازار نهنگها، URLهای واقعی را نمایش میدهند. سایر برندهایی که تبلیغات گوگل را با ظاهری معتبر جعل کردهاند، عبارتاند از: Keepass ،Home Depot، آمازون، eBay و یوتیوب.
بازیگران مخرب میتوانند این تبلیغاتِ دارای ظاهر معتبر را با هدایت بازدیدکنندگان به وبسایتهای مختلف براساس آدرس IP یا User Agent مرورگرشان ایجاد کنند. هنگامیکه این تبلیغات مخرب ساخته میشوند، رباتهای جستوجوی گوگل و مایکروسافت برای تأیید وبسایت، از URL کلیک روی تبلیغ بازدید میکنند.
بااینحال، زمانیکه وبسایت بازیگر مخرب بازدیدکنندهای را با استفاده از User Agent یا آدرس IP شناختهشده گوگل یا مایکروسافت شناسایی میکند، درخواست را به وبسایت واقعی که تبلیغ میشود، هدایت میکند. ازآنجاکه پلتفرمهای تبلیغاتی صفحه فرود نهایی را وبسایتی معتبر میبینند، به URL اجازه میدهند در تبلیغ نشان داده شود.
باوجوداین، هنگامیکه بازدیدکننده معمولی روی این تبلیغات کلیک میکند، بهجای وبسایت واقعی، به وبسایتهای مخربی هدایت میشود که بدافزار یا حملات فیشینگ یا کلاهبرداری را ترویج میکنند. این روش سالهاست که کار میکند؛ اما گوگل نتوانسته است از نمایش و تأیید آن جلوگیری کند.
درنهایت، باید به این موضوع اشاره کنیم گوگل، تنها شرکتی نیست که تحتتأثیر تبلیغات مخرب قرار میگیرد؛ چراکه از تکنیکهای مشابهی نیز در پلتفرمهای تبلیغاتی مایکروسافت و… استفاده میشود.
