Cybersecurity-Experten von Malwarebytes haben eine hochentwickelte Phishing-Kampagne aufgedeckt, die gezielt Google Ads-Werbekonten ins Visier nimmt. Die Angreifer nutzen dabei geschickt die Google-Ads-Plattform selbst, um täuschend echte Phishing-Anzeigen zu schalten, die sich als legitime Google Ads-Werbung tarnen.
Technische Analyse der Angriffsmethode
Die Cyberkriminellen platzieren manipulierte Werbeanzeigen in den Google-Suchergebnissen. Besonders bemerkenswert ist die Nutzung von Google Sites als Hosting-Plattform für gefälschte Login-Seiten. Da sites.google.com zur offiziellen Google-Infrastruktur gehört, genießen diese Seiten einen höheren Vertrauensvorschuss bei Nutzern und umgehen gleichzeitig verschiedene Sicherheitsprüfungen.
Umgehung der Sicherheitsmechanismen
Laut Jerome Segura, leitender Forscher bei Malwarebytes, nutzen die Angreifer eine technische Besonderheit der Google Ads-Plattform aus: Das System erlaubt nur Anzeigen-URLs, die mit der Zielseite übereinstimmen. Da sowohl sites.google.com als auch ads.google.com zur gleichen Domain-Familie gehören, passieren die schadhaften Anzeigen die automatische Überprüfung.
Internationale Dimension der Bedrohung
Die Untersuchungen haben mindestens drei separate Hackergruppen identifiziert:
– Eine portugiesischsprachige Gruppe aus Brasilien
– Ein asiatisches Netzwerk mit Verbindungen nach Hongkong und China
– Eine osteuropäische Gruppierung
Das Hauptziel der Angreifer ist der Weiterverkauf kompromittierter Konten auf dem Schwarzmarkt sowie deren Nutzung für weitere betrügerische Kampagnen.
Besondere Gefährdung für Werbetreibende
Ein kritischer Aspekt dieser Kampagne ist die spezifische Verwundbarkeit der Zielgruppe. Werbetreibende verzichten häufig auf Werbeblocker, um ihre eigenen Kampagnen und die Konkurrenz beobachten zu können. Diese Praxis macht sie besonders anfällig für solche Phishing-Angriffe.
Google hat auf die Enthüllungen reagiert und bestätigt, dass entsprechende Maßnahmen zur Bekämpfung dieser Bedrohung eingeleitet wurden. Werbetreibenden wird dringend empfohlen, Zwei-Faktor-Authentifizierung zu aktivieren und verdächtige Anzeigen-URLs sorgfältig zu prüfen. Die Verwendung dedizierter Sicherheitslösungen und regelmäßige Schulungen des Personals können zusätzlichen Schutz bieten.
