Google aramalarınız için dolandırıldınız mı: Kötü amaçlı reklamların çalışma şekli böyle.

Google'ın kendi vitrini bir tuzağa dönüştüğünde ne olur? Bu varsayımsal bir senaryo değil, siber suçun yeni savaş alanı: Dünyanın en büyük ve en gelişmiş reklam platformlarından biri olan Google Ads , sosyal mühendislik, gelişmiş kamuflaj teknikleri ve küresel lojistiği bir araya getiren bir kimlik avı kampanyasının hem hedefi hem de aracı haline geldi.

Kasım 2024 ortasından bu yana, muhtemelen Portekizce konuşan kötü niyetli aktörlerden oluşan bir ağ, meşru görünen ancak kimlik bilgilerini, iki faktörlü kimlik doğrulama kodlarını ve nihayetinde tüm hesapları çalmak üzere tasarlanmış kampanyalar başlatmak için Google Ads doğrulama politikalarındaki zayıflıkları istismar ediyor. Amaç sadece çalmak değil, aynı zamanda bu hesapları tekrar kullanarak dolandırıcılığı tırmandırmak ve karlarını katlamak .

Google'da gördüğünüz basit bir reklam bağlantısının, kullanıcıyı şüphe uyandırmadan sahte bir siteye yönlendirmesi nasıl mümkün olabilir? Google, tüm kaynaklarına rağmen bu dolandırıcılık zincirini engellemede neden başarısız oldu? Ve her şeyden önemlisi: Organize suçun dijital reklam ekosistemine içeriden hakim olduğu bir döneme mi giriyoruz?

Bu operasyonun anahtarı en yıkıcı kötü amaçlı yazılım veya yeni bir yazılım açığı değil, basit bir teknik ayrıntıdır: Google Ads, birincil alan adı aynı olduğu sürece, hedef URL'nin reklamda görüntülenen URL ile tam olarak eşleşmesini gerektirmez .

Bu, kötü amaçlı reklam mağduru bir kişinin seyahat planının şu şekilde olmasını sağlar:

1. Google'da arama yapın
2. Sonuçların başında karşınıza çıkan ve daha dikkat çekici olan reklamlardan birine tıklıyorsunuz.
3. Yönlendirildiğiniz URL, reklamda gösterilen URL'den farklı.
4. Bilgisayar korsanları, doldurduğunuz verileri kullanarak bunları saklama teklifini almaya çalışırlar.

Bu küçük nüans, küresel bir kötü amaçlı reklamcılık operasyonunun sızdığı bir çatlak haline geldi. Saldırganlar, görünüşte meşru URL'ler gösteren ve ardından kimlik avı sayfalarına yönlendiren reklamlar oluşturur .

Bu sahte sayfalar, bilinen diğer sayfaların tasarımını kopyalıyor ve hatta iki aşamalı kimlik doğrulama mekanizmaları bile içeriyor ; ancak fark, şifreli WebSocket bağlantıları kullanarak gerçek zamanlı olarak hem kullanıcı adını ve parolayı hem de 2FA kodunu yakalamak üzere tasarlanmış olmaları.

Tüm bu sistem ek tekniklerle desteklenmektedir:

• Otomatik sistemler tarafından tespit edilmeyi önlemek için parmak izi .
• Botları filtrelemek ve yalnızca insanların kimlik avı dolandırıcılığına erişmesini sağlamak için gizleme ve sahte CAPTCHA'lar .
• Bölgesel meşruiyet görünümünü güçlendirmek için Brezilya veya Portekiz'de bulunan yerel .pt alan adları ve sunucular.

Kimlik bilgileri alındıktan sonraki adım ise ele geçirmedir. Saldırganlar yalnızca Google Ads hesabınıza erişmekle kalmaz: yeni yöneticiler ekler , önemli ayarları değiştirir ve kendi sahte reklamlarını yayınlamak için mevcut reklam bütçenizi kullanır.

Her bakımdan başarılı bir operasyondur:

1. Meşru bir hesabı ele geçiriyorlar.
2. Çalınan hesapla reklam yayınlıyorlar.
3. Bu reklamlar aracılığıyla yeni kurbanlar yakalıyorlar.
4. Aynı döngüyü tekrarlıyorlar.

Özünde yeni bir teknik değil, ancak geniş çaplı uygulama ve gelişmişlik düzeyi açısından yeni. Benzer kampanyalar daha önce Facebook'un reklam ekosisteminde de görülmüştü. Artık bu sessiz savaşın yeni sahnesi Google Ads oldu.

Malwarebytes'a göre bu kampanyada kullanılan hesapların bir kısmı bölgesel bir havalimanı gibi kuruluşlardan geliyor ve bu da bu aktörlerin ne düzeyde erişim elde ettiğine dair bir fikir veriyor.

Google, sorunun varlığını kabul etti ve "aktif olarak araştırdığını" ve 2023 yılında 3,4 milyardan fazla reklamı kaldırmak ve 5,6 milyondan fazla hesabı askıya almak da dahil olmak üzere "yaptırım eylemleri gerçekleştirdiğini" belirtti.

Çalınan hesapların paraya dönüştürülmesi sadece doğrudan kullanımıyla sınırlı değil. Yeraltı forumlarında, aktif kampanyalara erişimi olan doğrulanmış profiller, yatırım geçmişine ve erişim türüne bağlı olarak 500 ila 5.000 avro arasında değişen fiyatlara satılıyor.

Paralel olarak saldırganlar, kötü amaçlı yazılımları YouTube veya SoundCloud gibi meşru platformlar üzerinden de dağıtıyor ve Amadey , Lumma Stealer , Vidar veya PrivateLoader gibi popüler yazılımların korsan yükleyicilerini arka kapılarla kamufle ediyor. Bu programlar daha fazla kimlik bilgisi toplayarak, yakalanan her kurbanın değerini artırıyor.

Sahte reklamcılığı, hedefli kimlik avını ve karanlık pazarlarda yeniden satışı bir araya getiren bu iş modeli yalnızca kazançlı değil, aynı zamanda son derece dayanıklıdır. Önemli olan, meşru olmayan işlemleri gizlemek için meşru hizmetlerden yararlanmaktır.