背景
最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper, Lido, Stargate, Defillama等。
证券时报评论:美联储酝酿退出量化宽松 警惕下半年汇率波动加大:美联储退出量化宽松货币政策,以及由此带来的美元指数阶段性走强、全球资本回流美国等都会成为引发人民币汇率贬值的因素。尤其是在美联储尚未公布缩减购债规模细节之前,市场对于美联储收紧货币政策的具体落地时点预期不一,外汇市场的双向波动会被进一步放大,此时更需树立“风险中性”理念,做好必要的套保避险,以适应汇率双向波动的常态。(证券时报)[2021/6/18 23:46:20]
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的 $SUDO的授权。如果你安装了Scam Sniffer的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章。
火币研究院:DeFi挖矿热潮凸显智能合约安全性问题,需警惕无多签机制合约:近期随着DeFi挖矿的热潮,出现了不少智能合约的迁移或安全事件。火币研究院指出,在以太坊上智能合约的灵活程度较低,已经部署的智能合约代码无法直接覆盖升级,因此在需要进行漏洞修复或者功能升级时,只能通过发布新合约等手段进行功能和数据的迁移,比如YAM、SUSHI等项目。但在EOS网络中,智能合约可升级性是在白皮书中明确指出的功能,合约的管理员可以像部署合约一样对合约进行覆盖升级,这意味着管理员有权限通过升级合约代码等方式拿走合约中的资金,对投资者而言意味着极高的资金风险。但值得注意的是,在EOS网络中也可以通过设置多签等手段,限制灵活性避免集中化控制,投资者可以通过是否多签对合约安全系数做简单判断。总而言之,在区块链世界,灵活性的提升往往伴随着权限合理配置的难度增加和新的安全风险。[2020/9/10]
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
美国FBI提醒民众在疫情期间警惕加密活动:美国FBI今日发布公告称,新冠病疫情爆发期间加密活动增多。有分子正在利用不断增加的恐惧和不确定性取公众资金,然后通过复杂的加密货币生态系统进行。各个年龄层的人(包括老年人)正在成为加密货币相关计划的受害者。FBI列举的加密手法包括敲诈勒索、“在家工作”局、“提供治疗或设备”局、投资等。(FBI官网)[2020/4/14]
来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ В?ДПОВ?ДА-ЛЬН?СТЮ ?РОМУС-ПОЛ?ГРАФ?
来自加拿大的TRACY ANN MCLEISH
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况。
比如同样的域名:
gclid参数访问就展示恶意网站
分析 | 加拿大道明银行:支付专业人士仍对加密货币保持警惕:据Coin Journal报道,加拿大道明银行(TD Babk)在2018年NACHA支付会议上进行的一项调查显示,尽管媒体对加密货币进行了大肆宣传,但支付方面的专业人士仍然对加密货币保持警惕,强烈反对其具有有效性。64%受访的金融专业人士表示,他们并未将加密货币视为合法的数字支付形式。4%的受访者认为围绕加密货币的争议是当今支付创新面临的最大挑战。[2018/8/23]
不带就是卖AV接收器的正常页面
gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。
同样有些恶意广告还存在反调试:
开发者工具: 禁用缓存开启 → 跳转到正常网站
直接打开 → 跳转到恶意网站
对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接,在开发者工具开启Disable Cache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于Google Ads有什么改进办法?
接入Web3 Focus的恶意网站检测引擎 (如ScamSniffer)。
持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约 $4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap, Tornado.Cash。有些直接进了KuCoin, Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341广告投入估算
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在 $15k左右。那么可以估算ROI大概在276% = 414/15
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
Scam Sniffer
个人专栏
阅读更多
金色荐读
金色财经 善欧巴
Chainlink预言机
白话区块链
金色早8点
Odaily星球日报
欧科云链
深潮TechFlow
MarsBit
Arcane Labs
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。