GOO:警惕谷歌搜索广告的区块链局

背景

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例，他们都无一不例外错点了Google的搜索广告从而进入到恶意网站，并在使用中过程签署了恶意签名，最终导致钱包里的资产丢失。

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面，大部分用户可能对搜索广告没有概念就直接打开第一个了，然而这些都是假冒的恶意网站。

通过分析了部分关键词，我们定位到了一些恶意的广告和网站，如Zapper, Lido, Stargate, Defillama等。

分析 | 币安被盗影响BTC价格 投资人需警惕短期波动风险:据TokenGazer数据分析显示，截止至5月8日18点整，BTC价格5860.47USDT，与昨日同期数据相比差距较小，30天RSI指数53.31，处于正常区间。在早间币安被盗事件发生之后，受此影响，BTC最低价格为5,785.29USDT，并直接反馈到期货方面：整体期货市场开单数大幅增加，多空实力对比差距缩小，Bitfinex上显示空头上升势头强劲，BitMEX上显示空头开单量增加，市场看空情绪较为明显，投资人需警惕短期波动风险。[2019/5/8]

打开一个Zapper的恶意广告，可以看到他试图利用Permit签名获取我的 $SUDO的授权。如果你安装了Scam Sniffer的插件，你会得到实时的风险提醒。

目前很多钱包对于这类签名还没有明确的风险提示，普通用户很可能以为是普通的登陆签名，顺手就签了。关于更多Permit的历史可以看看这篇文章。

动态 | Stellar发布公告提醒用户警惕欺诈性空投活动Stellar-Activity:Stellar官方Reddit发布公告，提醒用户警惕欺诈性空投活动。最初是StellarShade然后变成Stellar Dolphin Fork，现在叫Stellar-Activity（XLA）。此类局使用相同的运作模板进行——先是在bitcointalk.org发帖称将在某一特定日期进行大空投，然后开始发放赠品，推行营销策略以在社交媒体上吸引不知情的粉丝来传播这一消息，粉丝们在不知情的情况下间接地进行二次传播，致使更多的人上当。子们声称将会以2:1的比例给你提供XLA（每持有1XLM就给予2XLA），然后诱使你在他们的账户查看器里输入私钥，之后盗取你所有的账户存款。[2018/12/2]

通过分析这些恶意广告信息，我们发现这些恶意广告来自这些广告主的投放:

意大利金融市场监管机构：请投资者警惕经纪人的加密货币投资建议:据financemagnates消息，意大利金融市场监管机构Consob近期发布报告，对进行未经授权的外汇和CFDs业务的机构发出警告，并提醒当地居民警惕经纪人的数字货币投资建议。据悉，一些上市公司也参与了鼓励投资者交易或投资加密货币的计划，委员会据此收集了意大利多个数字货币交易平台的信息。迄今为止，Consob没有认可任何加密货币交易平台，并建议当地投资者在向经纪人进行任何投资前先行检查其所属机构的注册情况。[2018/5/31]

来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ В?ДПОВ?ДА-ЛЬН?СТЮ ?РОМУС-ПОЛ?ГРАФ?

来自加拿大的TRACY ANN MCLEISH

通过分析这些恶意广告，我们发现了一些有意思的用于绕过广告审核的情况。

人民日报三问区块链：目前还不太成熟，要警惕概念炒作:区块链技术确实能创造很大的价值，但一些风险也不容忽视。技术目前还不太成熟，要警惕概念炒作，特别要区分是技术创新还是集资创新，不能为了区块链而区块链。今后更好地推广和使用区块链技术，还需继续完善基础设施、加强相关法律政策制定等。[2018/2/26]

比如同样的域名：

gclid参数访问就展示恶意网站

不带就是卖AV接收器的正常页面

gclid是Google广告用于追踪点击的参数，如果你点击Google的搜索广告结果，链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页，这样一来就绕过了谷歌的广告审核。

同样有些恶意广告还存在反调试：

开发者工具: 禁用缓存开启 → 跳转到正常网站

直接打开 → 跳转到恶意网站

对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接，在开发者工具开启Disable Cache后会导致请求头有细微差异。除了开发者工具外，一些爬虫可能也会开启这个头保证抓取到最新的内容，这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象，这些铺天盖地的恶意广告是通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被用户看到，从而造成了严重的损失。

那么对于Google Ads有什么改进办法？

接入Web3 Focus的恶意网站检测引擎 （如ScamSniffer）。

持续监控投放前和投放后整个生命周期中的落地页情况，及时发现中间动态切换或通过参数跳转这种情况的发生。

为了分析潜在的规模，我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现，一共大约 $4.16m被盗，3k个受害者。大部分被盗发生在近期一个月左右。

数据详情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

通过分析几个比较大的资金归集地址，有些存进了SimpleSwap, Tornado.Cash。有些直接进了KuCoin, Binance等。

几个较大的资金归集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341广告投入估算根据一些广告分析平台，我们能了解到这些关键词的单次点击均价在1-2左右。

链上受害者地址数量大约在3000，如果所有受害者都是通过搜索广告点击进来的，按40%的转化率来算，那么点进来的用户数大约在7500。

基于此我们根据CPC大致可以估算出广告的投放成本可能最多在 $15k左右。那么可以估算ROI大概在276% = 414/15

通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被消费者看到，继而对用户造成了严重的损害。

希望各位用户在使用搜索引擎的时候多加防范，主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查，保护用户！

Scam Sniffer

个人专栏

阅读更多

金色荐读

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

MarsBit

Arcane Labs

标签：GOOGLESCAMELLAmongoose币归零了吗City Of AngleGlobal Anti Scam CryptoStella

FTT热门资讯