背景

最近幾周ScamSniffer陸續(xù)收到多個(gè)用戶被搜索廣告釣魚的案例，他們都無一不例外錯(cuò)點(diǎn)了Google的搜索廣告從而進(jìn)入到惡意網(wǎng)站，并在使用中過程簽署了惡意簽名，最終導(dǎo)致錢包里的資產(chǎn)丟失。

惡意廣告

通過搜索一些受害者使用的關(guān)鍵詞可以發(fā)現(xiàn)很多惡意廣告排在前面，大部分用戶可能對(duì)搜索廣告沒有概念就直接打開第一個(gè)了，然而這些都是假冒的惡意網(wǎng)站。

定向品牌

通過分析了部分關(guān)鍵詞，我們定位到了一些惡意的廣告和網(wǎng)站，如Zapper, Lido, Stargate, Defillama等。

打開一個(gè)Zapper的惡意廣告，可以看到他試圖利用Permit簽名獲取我的 $SUDO的授權(quán)。如果你安裝了Scam Sniffer的插件，你會(huì)得到實(shí)時(shí)的風(fēng)險(xiǎn)提醒。

目前很多錢包對(duì)于這類簽名還沒有明確的風(fēng)險(xiǎn)提示，普通用戶很可能以為是普通的登陸簽名，順手就簽了。關(guān)于更多Permit的歷史可以看看這篇文章。

惡意廣告主

通過分析這些惡意廣告信息，我們發(fā)現(xiàn)這些惡意廣告來自這些廣告主的投放:

來自烏克蘭的 ТОВАРИСТВО З ОБМЕЖЕНОЮ В?ДПОВ?ДА-ЛЬН?СТЮ ?РОМУС-ПОЛ?ГРАФ?

• 來自加拿大的TRACY ANN MCLEISH

繞過審核

通過分析這些惡意廣告，我們發(fā)現(xiàn)了一些有意思的用于繞過廣告審核的情況。

參數(shù)區(qū)分

比如同樣的域名：

gclid參數(shù)訪問就展示惡意網(wǎng)站

• 不帶就是賣AV接收器的正常頁面

gclid是Google廣告用于追蹤點(diǎn)擊的參數(shù)，如果你點(diǎn)擊Google的搜索廣告結(jié)果，鏈接會(huì)追加上gclid?；诖司涂梢詤^(qū)分不同用戶來源展示不一樣的頁面。而谷歌在投放前審核階段看到的可能是正常的網(wǎng)頁，這樣一來就繞過了谷歌的廣告審核。

防止調(diào)試

同樣有些惡意廣告還存在反調(diào)試：

開發(fā)者工具: 禁用緩存開啟 → 跳轉(zhuǎn)到正常網(wǎng)站

• 直接打開 → 跳轉(zhuǎn)到惡意網(wǎng)站

對(duì)比分析我們發(fā)現(xiàn)他們是通過請(qǐng)求頭 cache-control 的差異來跳轉(zhuǎn)到不一樣的連接，在開發(fā)者工具開啟Disable Cache后會(huì)導(dǎo)致請(qǐng)求頭有細(xì)微差異。除了開發(fā)者工具外，一些爬蟲可能也會(huì)開啟這個(gè)頭保證抓取到最新的內(nèi)容，這樣一來就又是一種可以繞過一些Google的廣告機(jī)器審核的策略。

這些繞過的技巧也解釋了我們的看到的現(xiàn)象，這些鋪天蓋地的惡意廣告是通過一些技術(shù)手段和偽裝，成功欺騙了Google廣告的審核，導(dǎo)致這些廣告最終被用戶看到，從而造成了嚴(yán)重的損失。

那么對(duì)于Google Ads有什么改進(jìn)辦法？

接入Web3 Focus的惡意網(wǎng)站檢測(cè)引擎 （如ScamSniffer）。

• 持續(xù)監(jiān)控投放前和投放后整個(gè)生命周期中的落地頁情況，及時(shí)發(fā)現(xiàn)中間動(dòng)態(tài)切換或通過參數(shù)跳轉(zhuǎn)欺騙這種情況的發(fā)生。

被盜預(yù)估

為了分析潛在的規(guī)模，我們從ScamSniffer的數(shù)據(jù)庫里找到了一些和這些惡意廣告網(wǎng)站關(guān)聯(lián)的鏈上地址。通過這些地址分析鏈上數(shù)據(jù)發(fā)現(xiàn)，一共大約 $4.16m被盜，3k個(gè)受害者。大部分被盜發(fā)生在近期一個(gè)月左右。

數(shù)據(jù)詳情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

資金流向

通過分析幾個(gè)比較大的資金歸集地址，有些存進(jìn)了SimpleSwap, Tornado.Cash。有些直接進(jìn)了KuCoin, Binance等。

幾個(gè)較大的資金歸集地址：

0xe018b11f700857096b3b89ea34a0ef5133963370
0xdfe7c89ffb35803a61dbbf4932978812b8ba843d
0x4e1daa2805b3b4f4d155027d7549dc731134669a
0xe567e10d266bb0110b88b2e01ab06b60f7a143f3
0xae39cd591de9f3d73d2c5be67e72001711451341

廣告投入估算

根據(jù)一些廣告分析平臺(tái)，我們能了解到這些關(guān)鍵詞的單次點(diǎn)擊均價(jià)在1-2左右。

鏈上受害者地址數(shù)量大約在3000，如果所有受害者都是通過搜索廣告點(diǎn)擊進(jìn)來的，按40%的轉(zhuǎn)化率來算，那么點(diǎn)進(jìn)來的用戶數(shù)大約在7500。

基于此我們根據(jù)CPC大致可以估算出廣告的投放成本可能最多在 $15k左右。那么可以估算ROI大概在276% = 414/15

總結(jié)

通過分析我們可以發(fā)現(xiàn)大部分的釣魚廣告的投放成本極低。而之所以我們能看到這些惡意廣告很大程度是因?yàn)檫@些廣告通過一些技術(shù)手段和偽裝，成功欺騙了Google廣告的審核，導(dǎo)致這些廣告最終被消費(fèi)者看到，繼而對(duì)用戶造成了嚴(yán)重的損害。

希望各位用戶在使用搜索引擎的時(shí)候多加防范，主動(dòng)屏蔽廣告區(qū)域的內(nèi)容。同時(shí)也希望Google廣告加強(qiáng)對(duì)Web3惡意廣告的審查，保護(hù)用戶！

熱點(diǎn)：區(qū)塊鏈 區(qū)塊鏈騙局