背景
最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
美国加州总检察长提醒民众警惕数字资产:美国加州总检察长Xavier Becerra就涉及数字资产(如加密货币)的行为发出消费者警告。最近不法分子在社交媒体和YouTube频道冒充知名政客、名人和企业高管,实施“赠品”局,例如虚假承诺将发送给特定数字资产钱包的任何数字资产翻倍。者试图利用新技术来掠夺加州人来之不易的积蓄。
任何考虑投资或购买数字资产的人都应了解以下局:欺诈性货币发行、虚假交易所和钱包、庞氏局、金字塔计划、挖矿局、数字资产作为替代支付形式。
为了避免成为数字资产的受害者,Becerra敦促投资者特别警惕这些危险信号:
1. 不切实际的利润宣传,如承诺一种加密货币的表现将优于股票市场或产生有保证的固定收益;
2. 含糊不清的匿名产品,如加密货币缺乏“白皮书”、真实的用途或可识别的管理团队;
3. 声称来自值得信赖的政府官员、高管、名人或朋友和家人的特殊交易或赠品(在点击任何链接之前请与他们交谈);
4. 奖励招募其他投资者的计划;
5. 迫使你立即投资的产品或交易;
6. 没有确保客户存款和兑现提款可靠记录的交易所和钱包;
7. 任何看起来好得难以置信的主张或交易。[2020/8/8]
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper,Lido,Stargate,Defillama等。
声音 | 经济参考报:警惕区块链成行“金字招牌”:11月21日,经济参考报刊文《警惕区块链成行“金字招牌”》。文章表示,据国家互联网应急中心互联网金融安全技术重点实验室介绍,目前监测到区块链公司中,带有区块链这三个字,或者它经营范围内带有区块链的,大概有32000多家,但是经过核查发现,真正拥有区块链技术的不足百分之十。面对不断翻新的“花式割韭菜”行行为,业内专家建议各级政府部门在继续严监管的基础上,更应不断升级监管手段和能力,持续加大宣传科普和打击力度,避免群众上当受。受访专家建议,监管部门需警惕投机炒作区块链概念、行业脱实向虚的苗头,地方政府要加强对于区块链技术研究,守正创新,避免“大干快上”一拥而上。[2019/11/21]
恶意网站
动态 | 英国FCA将CoinBrokerz列入投资者需警惕黑名单:据bitcoinexchangeguide报道,英国金融市场行为监管局(FCA)将金融服务商CoinBrokerz列入要求投资者警惕的黑名单,警告用户不要使用该公司的任何加密货币服务。FCA强调,该公司在官网谎称已经在FCA注册、受FSA监管,实际上并未得到在英国经营的授权。[2019/1/3]
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章。
恶意广告主
声音|中国经济周刊:警惕披上区块链等新外衣的线下理财局:7月2日,《中国经济周刊》2018年第26期刊登文章《线下理财“避雷”指南:警惕违规的老套路和新外衣》。文中指出,近年来,互联网金融、区块链等概念快速崛起,各种平台屡屡被冠上类似的创新名义,给了非法线下理财以可乘之机。大成律师事务所律师肖飒认为,线下理财近年来的特点是“紧跟新名词”,“区块链火了就开始发区块链相关理财产品,号称可以私募ICO份额,借销售渠道在社区进行分级销售”。业内人士提醒,尽管近年来国家加强了对线下理财的打击力度,但投资人并不能完全依赖于监管,自身也应增强防范意识,学会用法律渠道维权。[2018/7/2]
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
来自乌克兰的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?
来自加拿大的TRACYANNMCLEISH
绕过审核
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况。
参数区分
主网还未上线,BM提醒广大持币者警惕各种假消息:候选主链已经进入安全审计阶段,全球候选BP将在每天的视频会议上进行投票决定是否启动EOS主网。投票结果可以在网站实时查看结果 https://status.producer.vote/,BM在电报群多次表示,不用太过顾虑未来的BUG,主网应尽快上线。BM说:“每天都有持币者因为假消息损失资产,而且这个数量不断上升。” 并配图We have noting to fear but fear itself, 没有什么好恐惧的,除了恐惧本身。[2018/6/7]
比如同样的域名:
gclid参数访问就展示恶意网站
不带就是卖AV接收器的正常页面
gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。
防止调试
同样有些恶意广告还存在反调试:
开发者工具:禁用缓存开启→跳转到正常网站
直接打开→跳转到恶意网站
对比分析我们发现他们是通过请求头cache-control的差异来跳转到不一样的连接,在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于GoogleAds有什么改进办法?
接入Web3Focus的恶意网站检测引擎。
持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。
被盗预估
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约$4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
资金流向
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341
广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在1-2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。