谷歌搜索广告钓鱼已导致400万美金被盗
原文作者:fun
最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper, Lido, Stargate, Defillama等。
zapperwebapp-zapper.com, appfi-zapper.comlidolido.isstargatestargate-finances.onlinedefillamadefeilllama.com, defllllama.comorbiter financeorbitered.financeradiantradiantcapital.info
恶意网站
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的 $SUDO的授权。如果你安装了Scam Sniffer的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章[1]
恶意广告主
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
-
来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «РОМУС-ПОЛІГРАФ»
-
来自加拿大的TRACY ANN MCLEISH
绕过审核
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况
参数区分
比如同样的域名:
-
gclid参数访问就展示恶意网站
-
不带就是卖AV接收器的正常页面
gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。了解更多[2]
防止调试
同样有些恶意广告还存在反调试:
-
开发者工具: 禁用缓存开启 → 跳转到正常网站
-
直接打开 → 跳转到恶意网站
对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接,在开发者工具开启Disable Cache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功欺骗了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于Google Ads有什么改进办法?
-
接入Web3 Focus的恶意网站检测引擎 (如ScamSniffer)。
-
持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转欺骗这种情况的发生。
被盗预估
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约 $4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats[3]
资金流向
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap, Tornado.Cash。有些直接进了KuCoin, Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef5133963370
0xdfe7c89ffb35803a61dbbf4932978812b8ba843d
0x4e1daa2805b3b4f4d155027d7549dc731134669a
0xe567e10d266bb0110b88b2e01ab06b60f7a143f3
0xae39cd591de9f3d73d2c5be67e72001711451341
广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在 2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在 $15k左右。那么可以估算ROI大概在276% = 414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功欺骗了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
最后感谢 23pds@SlowMist[4], @Tay[5], bax1337@ConvexLabs,[6], ZachXBT[7], SunSec, Teddy@Biteye[8] 的Review!
比推快讯
更多 >>- HashKey Capital宣布拓展二级基金和财富管理业务
- 香港交易所:亚洲首批虚拟资产现货ETF上市,巩固香港作为亚洲领先ETF市场的地位
- 华夏、博时HashKey、嘉实虚拟资产现货ETF均跌破开盘价
- Terraform Labs律师:对Terraform及Do Kwon的罚款最多应该为 100 万美元
- 美法官批准FTX债务人与Voyager Digital 4.5亿美元的和解协议
- 截至4月26日,MicroStrategy持有21.44万枚比特币,总成本75.4亿美元
- Glassnode:市场下跌期间持有0.01-0.1 BTC的实体余额增长最为显著
- 预测平台Polymarket用户押注赵长鹏的刑期将不超过一年
- 24,673枚ETH从未知钱包转移到Coinbase Institutional
- 金融科技公司 Stripe 集成 Avalanche 的 Core 钱包
- TD Cowen:Consensys 与 SEC 关于以太坊是否是证券的诉讼“将需要数年时间”
- EigenLayer 公布代币空投计划,其中 15% 分配给质押者
- EigenLayer已在 GitHub 上发布白皮书,空投或将于5月10日上线
- Kamino基金会将推出KMNO质押,质押Multiplier最高可提升至3倍
- Coinbase将在 Solana 网络上添加对Neon EVM (NEON) 的支持
- 5万枚GNO转入Gnosis Treasury钱包地址,价值超1600万美元
- 疑似孙宇晨地址再次从Binance转出8170枚ETH,约合2592万美元
- EigenLayer疑似开通Eigen Foundation官方账户
- 加密交易生态系统LazyBear完成400万USDT战略融资,DWF Labs等参投
- 美国九只现货比特币ETF今日净流出超1.4亿美元,贝莱德连续3天未增持或减持BTC
- 某巨鲸向Coinbase存入400枚BTC,若全部出售将获利215万美元
- OSL ETF及托管业务负责人:香港对以太坊早有明确定义,并不是证券
- friend.tech v2预计将推迟至5月2日发布
- 数据:第一季度Filecoin FVM TVL超过6亿美元
- 华夏基金:预计首批香港比特币现货ETF首发规模将超1.25亿美元
- Nansen:过去 30 天内,Tether、USDC 和 DAI 交易量超过 Visa 2023 年的月度平均水平
- 6个巨鲸地址在市场下跌期间抛售超4.4万枚ETH,价值约合1.4亿美元
- CONSENSYS 称 SEC 执法总监于 2023 年 3 月批准了调查以太坊的正式命令
- 美国缓刑办公室建议对CZ缓刑五个月
- FOX:美SEC主席在过去一年认定ETH为未经注册的证券
- BCB Group在法国获得数字资产和电子货币许可证
- Tether Evo战略投资Blackrock Neurotech公司2亿美元
- HKbitEX与上海技术交易所启动上技所跨境技术贸易港澳服务中心
- 欧盟10国拟推进将数字资产市场法纳入本国法律
- 华夏基金为香港首批现货加密ETF规模最大的发行方
- Web3人才网络Braintrust推出AI招聘平台AIR
- 币安在菲禁令可能有利于当地加密货币市场发展
- 某鲸鱼地址向币安存入33383枚ETH
- 加拿大总理提议对股票和加密货币征收资本利得税
- 沉睡2年的鲸鱼地址向Lido存入1300枚ETH
- Covalent已通过私人交易购入FTX破产财团持有的CQT代币
- Web3 游戏初创公司 GFAL 筹集 330 万美元种子轮融资
比推专栏
更多 >>- IOSG Weekly Brief|MKR的涅槃重生:新公链和RWA稳定币与Spark借贷独角兽 #223
- Kusama 上的 Coretime 交易已开始,平行链时代谢幕
- 100亿美元开发投资,红杉资本入局,特斯拉要搞波大的…
- Chainlink Q1产品更新;CCIP正式进入全面可用阶段;Consensus2024来啦|Chainlink 周报
- Sergey Nazarov:Chainlink的演变如何塑造Web3的未来
- 空手套白狼 —— YIEDL 被黑分析
- 脱水大字报:矿工成本决定6万是底
- 脱水大字报:投资者在6.5万附近抄底20万枚比特币
- 脱水观点:场内资金在回调中押注ETH
- 路透社:美国SEC将拒绝以太坊ETF
观点
项目
比推热门文章
- Delphi 详解 Supra:通过 IntraLayer 打造垂直一体化未来
- KOL:机构、散户各有所属,谁来给山寨币接盘?
- 备受期待却让人大失所望? EigenLayer 空投争议盘点
- 赵长鹏会成为美国有史以来最富有的囚犯吗?CZ与SBF有何不同
- 比特币最新生态一览:未来潜在的机会在哪里?
- 香港金融史重大时刻:比特币ETF正式登陆港交所
- 王炸降临,一文梳理EigenLayer空投关键信息
- 吴说播客:区块链猎头谈招聘趣事 冒名顶替、简历造假、学历英语重要吗?
- HashKey Capital宣布拓展二级基金和财富管理业务
- 香港交易所:亚洲首批虚拟资产现货ETF上市,巩固香港作为亚洲领先ETF市场的地位