警惕谷歌搜索广告的区块链局

背景

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。

通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper, Lido, Stargate, Defillama等。

学者:比特币暴涨有合理性但仍应警惕其风险:据新华社今日报道,近期比特币价格暴涨引全球瞩目。新加坡国立大学学者日前接受采访时表示,在全球流动性过剩的背景下,比特币价格暴涨有其合理性,但比特币属于高风险资产,未来价格走势将高度依赖政策与经济复苏等预期的兑现。新加坡国立大学商学院副教授傅强表示,比特币与法币体系的天然对立性与竞争性,使它在未来极有可能受到更严格的监管约束。投资者需警惕追高心理,羊群效应会大幅放大其波动性。[2021/2/22 17:39:41]

打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的 $SUDO的授权。如果你安装了Scam Sniffer的插件,你会得到实时的风险提醒。

目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章。

美国德州证券委员会:警惕新冠病爆发之际的加密局:金色财经报道,3月23日,德州证券委员会(TSSB)发布警告,提醒人们警惕在新冠病大流行之际出现的加密局。报告提到了不同类型的局,其中包括那些在冠状病危机期间承诺高回报的加密投资。[2020/3/25]

通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:

来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ В?ДПОВ?ДА-ЛЬН?СТЮ ?РОМУС-ПОЛ?ГРАФ?

来自加拿大的TRACY ANN MCLEISH

通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况。

比如同样的域名:

gclid参数访问就展示恶意网站

不带就是卖AV接收器的正常页面

动态 | 游戏项目方需注意随机数安全,警惕薅羊毛攻击:Beosin(成都链安)预警:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,近期疑似薅羊毛攻击多发,攻击者批量操作多个账号并结合随机数计算进行下注,目前发现的攻击收益都较小,最高仅有几十eos,但是攻击者完全可以增加同时操作的账号数量和下注金额来扩大攻击。成都链安提醒各项目方提高警惕,近期请加强安全防范措施,尤其注意随机数安全,必要时联系安全公司进行安全服务,避免不必要的资产损失。[2019/6/17]

gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。

同样有些恶意广告还存在反调试:

现场 | 信通院张启:要从共识层、合约层以及区块链应用等方面提高警惕:金色财经现场报道,今日,2018可信区块链峰会在北京召开。在主题为“区块链安全焦点关注”的区块链安全论坛上,中国信息通信研究院高级研究员、可信区块链推进计划办公室副主任张启介绍了可信区块链安全项目组的进展,在他看来,2018年以来,区块链应用生态安全事件频发,安全标准缺失,危害程度日益增大,其中智能合约成为安全风险“重灾区”。在此背景下,需要重视从共识层、合约层以及区块链应用等方面提高警惕,并且在区块链基础组建、共识机制、智能合约、应用服务等方面优化应对方案。[2018/10/10]

开发者工具: 禁用缓存开启 → 跳转到正常网站

直接打开 → 跳转到恶意网站

对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接,在开发者工具开启Disable Cache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。

那么对于Google Ads有什么改进办法?

接入Web3 Focus的恶意网站检测引擎 (如ScamSniffer)。

持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。

为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约 $4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。

数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats

通过分析几个比较大的资金归集地址,有些存进了SimpleSwap, Tornado.Cash。有些直接进了KuCoin, Binance等。

几个较大的资金归集地址:

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341广告投入估算根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在1-2左右。

链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。

基于此我们根据CPC大致可以估算出广告的投放成本可能最多在 $15k左右。那么可以估算ROI大概在276% = 414/15

通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。

希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!

Scam Sniffer

个人专栏

阅读更多

金色荐读

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

MarsBit

Arcane Labs

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:0ms0-1:654ms