Dengan taktik yang sangat kurang ajar, beberapa pelaku ancaman meniru halaman login Google Ads untuk mengelabui pengiklan agar menyerahkan kredensial akun mereka.
Para penyerang – dari wilayah yang tersebar secara geografis seperti Amerika Selatan, Asia, dan Eropa Timur – kemudian menggunakan akun yang dibajak secara real-time untuk membeli dan mendistribusikan iklan berbahaya dan malware melalui Google Ads.
Kampanye Malvertisasi 'Paling Mengerikan' yang Pernah Ada
Para penipu tampaknya berhasil dalam banyak kasus karena iklan mereka diizinkan untuk menampilkan iklan.google.com URL. Hal ini membuat iklan tersebut hampir tidak dapat dibedakan dari iklan Google yang sah, menurut peneliti di Malwarebytes, yang melihat aktivitas jahat tersebut baru-baru ini.
“Ini adalah operasi malvertising paling mengerikan yang pernah kami lacak, yang mencapai inti bisnis Google dan kemungkinan besar berdampak pada ribuan pelanggan mereka di seluruh dunia,” peneliti Malwarebytes Jerome Segura tulis dalam postingan blog minggu ini. “Kami telah melaporkan insiden-insiden baru sepanjang waktu namun tetap mengidentifikasi insiden-insiden baru, bahkan pada saat publikasi ini.”
Iklan Google adalah platform periklanan yang memungkinkan bisnis dan individu menampilkan iklan bertarget di hasil penelusuran Google, situs web, aplikasi seluler, dan properti online lainnya, berdasarkan perilaku dan minat penelusuran pengguna. Seringkali, hasil pencarian teratas disponsori, artinya seseorang membayar untuk visibilitas tinggi tersebut. Untuk konteksnya, Google Penelusuran menghasilkan beberapa $175 miliar dalam pendapatan iklan pada tahun 2023.
Menurut Segura, baru-baru ini terjadi banjir iklan sponsor palsu untuk Google Ads yang ditujukan kepada bisnis dan individu yang ingin beriklan di Google Penelusuran atau ingin masuk ke akun Google Ads mereka. Iklan tersebut tampaknya berasal dari Google dan dimaksudkan untuk membantu orang-orang mendaftar akun Google Ads atau masuk ke akun yang sudah ada. Pengguna yang mengeklik iklan ini diarahkan ke laman beranda Google Ads palsu, lalu mereka diarahkan ke situs eksternal yang dirancang khusus untuk mencuri nama pengguna dan sandi akun Google pengiklan.
Para penyerang menggunakan platform pembuatan situs web gratis Google, Google Sites, untuk menghosting halaman umpan. Ini adalah taktik yang menurut Segura memungkinkan mereka mengabaikan kebijakan Google yang mengizinkan pengiklan menyertakan URL dalam iklan mereka hanya jika URL tersebut cocok dengan nama domain pengiklan. “Melihat kembali iklan dan laman Google Sites, kami melihatnya [the] jahat [ads do] tidak sepenuhnya melanggar aturan karena sites.google.com menggunakan domain root yang sama dengan ads.google.com,” kata Segura. “Dengan kata lain, diperbolehkan untuk menampilkan URL ini di iklan, sehingga membuatnya tidak dapat dibedakan dari URL yang sama. iklan yang dikeluarkan oleh Google LLC.”
Google Secara Aktif Menyelidiki Serangan Siber
Dalam komentar yang dikirim melalui email, juru bicara Google mengatakan perusahaannya saat ini “secara aktif menyelidiki” masalah tersebut dan berupaya melakukan perbaikan cepat untuk masalah tersebut. “Kami secara tegas melarang iklan yang bertujuan menipu orang untuk mencuri informasi atau menipu mereka,” kata juru bicara tersebut.
Sebagai konteksnya, juru bicara menunjuk ke kecanggihan yang semakin meningkat dan skala kampanye malvertising serta contoh-contoh yang tercatat di mana pelaku ancaman telah membuat ribuan akun berbahaya secara bersamaan menyebarkan iklan jahat di properti Google. Seringkali para pelaku ini menggunakan teknik seperti manipulasi teks untuk menyiasati mekanisme deteksi otomatisasi. Dalam kasus lain, mereka menggunakan taktik penyelubungan untuk menampilkan iklan yang berbeda kepada pengulas dan sistem Google dari iklan yang akhirnya dilihat pengguna. “Untuk memberikan gambaran tentang skala kami upaya penegakan hukum pada tahun 2023kami menghapus lebih dari 3,4 miliar iklan, membatasi lebih dari 5,7 miliar iklan, dan menangguhkan lebih dari 5,6 juta akun pengiklan,” kata juru bicara tersebut.
Meniru Identitas Google Ads: Rekayasa Sosial yang Sederhana & Efektif
Dalam komentarnya di Dark Reading, Segura mengatakan bagian paling menonjol dari aktivitas jahat baru ini adalah peniruan identitas merek Google Ads dengan menggabungkan URL Situs Google dengan iklan. “Ini adalah trik sederhana namun efektif yang membuat iklan tersebut sangat sulit dibedakan dari iklan asli,” kata Segura. Masalah rumitnya adalah kenyataan bahwa pelaku kejahatan sering kali menggunakan akun Google Ads yang telah disusupi untuk menempatkan lebih banyak iklan palsu di Google Penelusuran, sehingga aktivitas tersebut sulit dihentikan.
Google seharusnya mempersulit pelaku kejahatan untuk melakukan skema peniruan identitas seperti itu, katanya. “'Caranya' lebih rumit, karena melibatkan peninjauan praktik bisnis dan… kebijakan keamanan yang ada.”
Segura mengatakan Malwarebytes melacak dan melaporkan setiap insiden maliklan yang ditemukan melalui pelacak langsung yang dapat diakses oleh tim Google Ads. “Ini merupakan alat yang berguna bagi kami, tidak hanya untuk mempermudah proses pelaporan tetapi juga untuk menyimpan catatan sejarah,” ujarnya. Tanggapan Google terdiri dari mengambil tindakan terhadap iklan yang dilaporkan Malwarebytes. “[But] para pelaku ancaman dapat bangkit kembali seolah-olah kampanye mereka tidak pernah berhenti. Kita berbicara tentang lusinan akun yang terbakar, namun jumlahnya masih cukup untuk membuat hal ini terus terjadi tanpa batas waktu.”
