GLE:谷歌搜索广告钓鱼已导致400万美金被盗

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例，他们都无一不例外错点了Google的搜索广告从而进入到恶意网站，并在使用中过程签署了恶意签名，最终导致钱包里的资产丢失。

恶意广告

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面，大部分用户可能对搜索广告没有概念就直接打开第一个了，然而这些都是假冒的恶意网站。

定向品牌

“末日博士”Nouriel Roubini：大多数美国银行在技术上都接近破产:金色财经报道，对加密货币持反对态度的知名经济学家“末日博士”Nouriel Roubin在最近一篇MarketWatch专栏文章中断言大多数美国银行在技术上都接近破产，从资本质量来看数百家美国银行已经完全资不抵债，不断上升的通货膨胀通过增加银行的“存款专营权”（一种不在其资产负债表上的资产）来降低银行负债（存款）的真实价值，硅谷银行等美国地区性银行的经验表明，存款粘性并不能保证，当银行出售证券以满足取款需求时，未实现证券损失变为现实从而导致破产。（cryptoglobe）[2023/4/2 13:40:44]

通过分析了部分关键词，我们定位到了一些恶意的广告和网站，如Zapper,Lido,Stargate,Defillama等。

zapperwebapp-zapper.com,appfi-zapper.comlidolido.isstargatestargate-finances.onlinedefillamadefeilllama.com,defllllama.comorbiterfinanceorbitered.financeradiantradiantcapital.info

Infura计划推出去中心化基础设施协议:金色财经报道，区块链开发平台Infura计划在明年初推出一个去中心化的基础设施协议，以解决人们对其产品过于集中而无法支撑以太坊生态系统Dapps的担忧。Infura计划逐步将其Web3 API服务去中心化，引入去中心化的基础设施协议是一个重要的进展。

据悉，尽管推动去中心化，但Infura不会停止其中心化的产品。

Infura联合创始人Eleazar Galano说，Infura的去中心化协议将补充其更中心化的产品，为其用户提供最佳的客户体验。（CoinDesk）[2022/9/16 7:02:01]

恶意网站

打开一个Zapper的恶意广告，可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件，你会得到实时的风险提醒。

Coinbase Exchange将新增OP-USDT、ACH-USDT和BOND-USDT交易对:8月9日消息，Coinbase Exchange将为现有资产增加新的交易对。太平洋时间8月9日9点或之后，OP-USDT、ACH-USDT和BOND-USDT交易对将进入拍卖模式。[2022/8/9 12:12:29]

目前很多钱包对于这类签名还没有明确的风险提示，普通用户很可能以为是普通的登陆签名，顺手就签了。关于更多Permit的历史可以看看这篇文章

恶意广告主

通过分析这些恶意广告信息，我们发现这些恶意广告来自这些广告主的投放:

来自乌克兰的?ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?来自加拿大的TRACYANNMCLEISH绕过审核

数据：BTC亏损地址数创历史新高:7月6日消息，据Glassnode数据显示，当前BTC亏损地址数（7日均值）为18,960,139.315，创历史新高。[2022/7/6 1:55:09]

通过分析这些恶意广告，我们发现了一些有意思的用于绕过广告审核的情况

参数区分

比如同样的域名：

gclid参数访问就展示恶意网站不带就是卖AV接收器的正常页面gclid是Google广告用于追踪点击的参数，如果你点击Google的搜索广告结果，链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页，这样一来就绕过了谷歌的广告审核。了解更多

防止调试

巴塞尔银行监管委员会将发布针对加密货币的第二份咨询文件:金色财经报道，全球银行监管标准制定者希望在今年年底前敲定对加密货币资产的处理方式。巴塞尔银行监管委员会（BCBS）今天公布了与5月27日会议有关的最新消息。BCBS在会议上表示，就“审慎处理银行的加密资产敞口”的第二份咨询文件取得了进展。

该机构去年发布了第一份咨询文件，建议对有加密业务敞口的银行实施严格的资本要求，此外还将现有框架应用于加密业务，并发布指导意见以填补任何空白。委员会收到了来自外部利益相关者对公众谘询的反馈，而接下来的咨询将以这些反馈为基础。

BCBS在更新的文件中表示，该文件计划“在未来一个月发布，以期在今年年底前后完成审慎处理”，并称“最近的事态发展进一步突显了建立全球最低审慎框架以降低加密资产风险的重要性。”（The Block）[2022/6/1 3:54:26]

同样有些恶意广告还存在反调试：

开发者工具:?禁用缓存开启?→跳转到正常网站直接打开→跳转到恶意网站

对比分析我们发现他们是通过请求头?cache-control?的差异来跳转到不一样的连接，在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外，一些爬虫可能也会开启这个头保证抓取到最新的内容，这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象，这些铺天盖地的恶意广告是通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被用户看到，从而造成了严重的损失。

那么对于GoogleAds有什么改进办法？

接入Web3Focus的恶意网站检测引擎。持续监控投放前和投放后整个生命周期中的落地页情况，及时发现中间动态切换或通过参数跳转这种情况的发生。被盗预估

为了分析潜在的规模，我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现，一共大约$4.16m被盗，3k个受害者。大部分被盗发生在近期一个月左右。

数据详情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

资金流向

通过分析几个比较大的资金归集地址，有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。

几个较大的资金归集地址：

0xe018b11f700857096b3b89ea34a0ef5133963370

0xdfe7c89ffb35803a61dbbf4932978812b8ba843d

0x4e1daa2805b3b4f4d155027d7549dc731134669a

0xe567e10d266bb0110b88b2e01ab06b60f7a143f3

0xae39cd591de9f3d73d2c5be67e72001711451341

广告投入估算

根据一些广告分析平台，我们能了解到这些关键词的单次点击均价在?2左右。

链上受害者地址数量大约在3000，如果所有受害者都是通过搜索广告点击进来的，按40%的转化率来算，那么点进来的用户数大约在7500。

基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

总结

通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被消费者看到，继而对用户造成了严重的损害。

希望各位用户在使用搜索引擎的时候多加防范，主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查，保护用户！

最后感谢?23pds@SlowMist,?@Tay,?bax1337@ConvexLabs,,?ZachXBT,?SunSec,??Teddy@Biteye?的Review!

标签：GLEGOOAPPINFSINGLEmongoose币有潜力吗区块链dapp开发费多少钱Infinity Esaham

Ethereum热门资讯