Püügilingid ja pahavara on tuttav oht kõigile, kes internetis surfavad. Siiski võivad keerulised rünnakud tabada isegi kõige turvalisema turvalisusega kasutajaid ootamatult. Ja miski ei ole keerulisem kui Google’i enda platvormil Google’ile nime andmine.
Hiljutise pahatahtliku reklaamikampaania käigus ostsid häkkerid “Sponsored” Google Search reklaampinda, et reklaamida vale Google Authenticatori allalaadimislinki. Igaüks, kes otsis “Google Authenticator”, võis sattuda sellele reklaamile, mis nägi välja täiesti seaduslik ja näis kasutavat URL-i “www.google.com”.
Reklaamile klõpsates ilmus ohvritele Google Authenticatori veebisaidi veenev kloon, mille URL on “www.chromeweb-authenticators.com”. Selle veebisaidi silmapaistva nupu “Download Authenticator” vajutamine käivitas GitHubis asuva ja arendaja poolt allkirjastatud käivitatava faili “Authenticator.exe” allalaadimise. Selle käivitatava faili allikas ja asjaolu, et see oli allkirjastatud, tähendas, et ohvrite veebibrauserid või Windows Defenderi viirusetõrje ei kontrollinud seda.
Tegelikult oli see käivitatav programm DeerStealer-nimeline pahavara, mis varastab andmeid. Malwarebytes sai pahatahtlikust reklaamikampaaniast teada ja võttis kohe ühendust Google’iga, kes eemaldas pahatahtliku reklaami oma platvormilt.
Kuidas see juhtus – noh, see on tegelikult üsna lihtne. Google müüs kogemata reklaamipinda häkkeritele. Vestluses Bleeping Computeriga ütles ettevõte, et häkkerid möödusid inim- ja automaatsetest kvaliteedikontrollisüsteemidest, kasutades “tekstimanipulatsiooni ja varjamist, et näidata … teistsuguseid veebisaite, kui tavaline külastaja näeks”
Enamik inimesi teab paremini, kui klõpsata juhuslikele reklaamidele. Probleem on muidugi selles, et Google’i “sponsoreeritud” otsingutulemused ei ole traditsioonilised reklaamid. Need on loodud nii, et need on seotud mis tahes teemaga, mida te otsite, ja neid kasutavad sageli seaduslikud ettevõtted, kes soovivad olla Google’i otsingus rohkem esile toodud. Isegi kui te saate aru, et otsingutulemus on “Sponsoreeritud”, võib see olla täpselt see, mida te otsisite.
Antud juhul otsisid ohvrid Google’i veebisaidil Google’i toodet. Nad leidsid toote reklaami ja klikkisid sellele, sest miks mitte?
See ei ole esimene kord, kui Google’i reklaamiplatvormi on kasutatud pahavara levitamiseks või andmepüügiks. Tegelikult on pahavara vastu võitlemine olnud Google’i jaoks aastakümneid kestnud võitlus ja see jätkub paratamatult ka tulevikus. (Seda vaatamata sellele, et ajalooliselt on Google kõige aktiivsemalt eemaldanud pahavara oma reklaamplatvormist ja otsingumootorist).
Soovitame vältida Google’i otsingus “Sponsoreeritud” tulemustele klõpsamist. Seda võib olla lihtsam öelda kui teha, sest neid reklaame on raske eristada tavalistest otsingutulemustest.
Allikas: Malwarebytes kaudu Bleeping Computer.
