警惕谷歌搜索廣告的區塊鏈騙局_GLE:EWS

背景

最近幾周ScamSniffer陸續收到多個用戶被搜索廣告釣魚的案例，他們都無一不例外錯點了Google的搜索廣告從而進入到惡意網站，并在使用中過程簽署了惡意簽名，最終導致錢包里的資產丟失。

惡意廣告

通過搜索一些受害者使用的關鍵詞可以發現很多惡意廣告排在前面，大部分用戶可能對搜索廣告沒有概念就直接打開第一個了，然而這些都是假冒的惡意網站。

定向品牌

通過分析了部分關鍵詞，我們定位到了一些惡意的廣告和網站，如Zapper,Lido,Stargate,Defillama等。

LendHub：平臺安全穩定運營 警惕虛假社群謠言:據官方消息，今日，有人發布LendHub平臺資金被盜的造謠信息，并在網絡上散布傳播。近期，市場上還出現了冒充LendHub官方社群及官方社群工作人員的情況。

在此LendHub嚴肅聲明，平臺一直安全穩定運營，請勿聽信虛假社群內的任何不實言論，對任何涉及轉賬或需提供隱私信息的要求提高警惕，避免出現資金損失。LendHub官方動態信息會在官網發布，用戶可在官網添加官方社群及社群助手。[2021/4/15 20:22:56]

惡意網站

ShapeShift官方提醒用戶警惕詐騙網站:ShapeShift官方今日發推提醒用戶警惕詐騙網站，建議投資者謹慎訪問非官方的平臺和服務。[2021/2/16 19:51:52]

打開一個Zapper的惡意廣告，可以看到他試圖利用Permit簽名獲取我的$SUDO的授權。如果你安裝了ScamSniffer的插件，你會得到實時的風險提醒。

目前很多錢包對于這類簽名還沒有明確的風險提示，普通用戶很可能以為是普通的登陸簽名，順手就簽了。關于更多Permit的歷史可以看看這篇文章。

惡意廣告主

通過分析這些惡意廣告信息，我們發現這些惡意廣告來自這些廣告主的投放:

來自烏克蘭的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

MXC抹茶：請用戶警惕冒用抹茶名義進行的宣傳:部分用戶反饋，有項目方使用MXC抹茶名義及Logo，進行所謂“漲幅榜打榜”宣傳。對此，相關負責人表示，MXC抹茶從未也不會聯合任何項目方，進行所謂的“漲幅榜打榜”活動，請用戶警惕冒用MXC抹茶名義及Logo進行的宣傳，注意投資風險，避免財產損失。MXC抹茶推出的官方活動請以公告為準。[2020/11/26 22:15:50]

來自加拿大的TRACYANNMCLEISH

繞過審核

通過分析這些惡意廣告，我們發現了一些有意思的用于繞過廣告審核的情況。

參數區分

比如同樣的域名：

gclid參數訪問就展示惡意網站

火幣行情播報丨BTC 縮量橫盤震蕩 警惕畫門行情:據火幣行情顯示，比特幣昨夜晚間小幅回調，基本反包了外部消息帶來的短時行情。最低下探至11305.46USDT。隨后小幅反彈回到了11400USDT一線上方。近期來看合規類型的投資者隨著各種合規產品逐步推出，也會少量配置一些數字貨幣資產組合。因此在外部市場出現一定的消息的時候都會引起主流加密數字貨幣資產的波動，但是目前來看影響還是非常有限的,很難驅動主要行情，因此這波上升趨勢多方動能并不足，警惕橫盤后的畫門行情。截至10:00，主流幣的具體表現如下：[2020/10/14]

不帶就是賣AV接收器的正常頁面

gclid是Google廣告用于追蹤點擊的參數，如果你點擊Google的搜索廣告結果，鏈接會追加上gclid。基于此就可以區分不同用戶來源展示不一樣的頁面。而谷歌在投放前審核階段看到的可能是正常的網頁，這樣一來就繞過了谷歌的廣告審核。

阿聯酋海灣新聞報提醒民眾警惕虛假比特幣投資廣告:阿聯酋發行量最大的英文報紙《海灣新聞報（Gulf News）》提醒居民，警惕在海外網站上推廣的虛假廣告，該廣告假冒Gulf News的社論風格進行兜售，謊稱一名當地商人支持一個可疑的比特幣投資機會。

Gulf News管理部門警告說，“欺詐者利用Gulf News的名稱來獲得可信度。這不是Gulf News發布的報道，我們與之無關。任何投資的人都將自行承擔風險。”該部門已向有關部門提出投訴。（Gulf News）[2020/5/10]

防止調試

同樣有些惡意廣告還存在反調試：

開發者工具:禁用緩存開啟→跳轉到正常網站

直接打開→跳轉到惡意網站

對比分析我們發現他們是通過請求頭cache-control的差異來跳轉到不一樣的連接，在開發者工具開啟DisableCache后會導致請求頭有細微差異。除了開發者工具外，一些爬蟲可能也會開啟這個頭保證抓取到最新的內容，這樣一來就又是一種可以繞過一些Google的廣告機器審核的策略。

這些繞過的技巧也解釋了我們的看到的現象，這些鋪天蓋地的惡意廣告是通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被用戶看到，從而造成了嚴重的損失。

那么對于GoogleAds有什么改進辦法？

接入Web3Focus的惡意網站檢測引擎。

持續監控投放前和投放后整個生命周期中的落地頁情況，及時發現中間動態切換或通過參數跳轉欺騙這種情況的發生。

被盜預估

為了分析潛在的規模，我們從ScamSniffer的數據庫里找到了一些和這些惡意廣告網站關聯的鏈上地址。通過這些地址分析鏈上數據發現，一共大約$4.16m被盜，3k個受害者。大部分被盜發生在近期一個月左右。

數據詳情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

資金流向

通過分析幾個比較大的資金歸集地址，有些存進了SimpleSwap,Tornado.Cash。有些直接進了KuCoin,Binance等。

幾個較大的資金歸集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

廣告投入估算

根據一些廣告分析平臺，我們能了解到這些關鍵詞的單次點擊均價在1-2左右。

鏈上受害者地址數量大約在3000，如果所有受害者都是通過搜索廣告點擊進來的，按40%的轉化率來算，那么點進來的用戶數大約在7500。

基于此我們根據CPC大致可以估算出廣告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

總結

通過分析我們可以發現大部分的釣魚廣告的投放成本極低。而之所以我們能看到這些惡意廣告很大程度是因為這些廣告通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被消費者看到，繼而對用戶造成了嚴重的損害。

希望各位用戶在使用搜索引擎的時候多加防范，主動屏蔽廣告區域的內容。同時也希望Google廣告加強對Web3惡意廣告的審查，保護用戶！

Tags：GLEGOONEWEWSGLE幣Virtual Goods TokenNew Year BullEWS價格

幣贏