背景
最近几周 ScamSniffer 陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了 Google 的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如 Zapper, Lido, Stargate, Defillama 等。
| Keyword | Malicious Ads |
|---|---|
| zapper | webapp-zapper.com, appfi-zapper.com |
| lido | lido.is |
| stargate | stargate-finances.online |
| defillama | defeilllama.com, defllllama.com |
| orbiter finance | orbitered.finance |
| radiant | radiantcapital.info |
恶意网站
打开一个 Zapper 的恶意广告,可以看到他试图利用 Permit 签名获取我的 $SUDO 的授权。如果你安装了 Scam Sniffer 的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多 Permit 的历史可以看看这篇文章[1]
恶意广告主
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
- 来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «РОМУС-ПОЛІГРАФ»
- 来自加拿大的TRACY ANN MCLEISH
绕过审核
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况
参数区分
比如同样的域名:
gclid参数访问就展示恶意网站- 不带就是卖 AV 接收器的正常页面
gclid是 Google 广告用于追踪点击的参数,如果你点击 Google 的搜索广告结果,链接会追加上 gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。了解更多[2]
防止调试
同样有些恶意广告还存在反调试:
- 开发者工具: 禁用缓存开启 → 跳转到正常网站
- 直接打开 → 跳转到恶意网站
对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接,在开发者工具开启 Disable Cache 后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些 Google 的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功欺骗了 Google 广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于 Google Ads 有什么改进办法?
- 接入 Web3 Focus 的恶意网站检测引擎 (如 ScamSniffer)。
- 持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转欺骗这种情况的发生。
被盗预估
为了分析潜在的规模,我们从 ScamSniffer 的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约 $4.16m 被盗,3k 个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats[3]
资金流向
通过分析几个比较大的资金归集地址,有些存进了 SimpleSwap, Tornado.Cash。有些直接进了 KuCoin, Binance 等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在 2 左右。
链上受害者地址数量大约在 3000,如果所有受害者都是通过搜索广告点击进来的,按 40% 的转化率来算,那么点进来的用户数大约在 7500。
基于此我们根据 CPC 大致可以估算出广告的投放成本可能最多在 $15k 左右。那么可以估算 ROI 大概在 276% = 414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功欺骗了 Google 广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望 Google 广告加强对 Web3 恶意广告的审查,保护用户!
最后感谢 23pds@SlowMist[4], @Tay[5], bax1337@ConvexLabs,[6], ZachXBT[7], SunSec, Teddy@Biteye[8] 的 Review!
参考资料
[1]文章: https://medium.com/@romanrakhlin/the-dark-side-of-permits-eip2612-c66ff71bf635?utm_source=scamsniffer[2]了解更多: https://support.google.com/google-ads/answer/9744275[3]https://dune.com/scamsniffer/google-search-ads-phishing-stats: https://dune.com/scamsniffer/google-search-ads-phishing-stats[4]23pds@SlowMist: https://twitter.com/IM_23pds[5]@Tay: https://twitter.com/tayvano_[6]bax1337@ConvexLabs: https://twitter.com/bax1337[7]ZachXBT: https://twitter.com/zachxbt[8]Teddy@Biteye: https://twitter.com/DeFiTeddy2020
所有评论