¿Cómo engañaron los phishers del "tech-supportcenter" a Google?

  

Si mostrar la URL incorrecta en la información sobre herramientas requiere Javascript, ¿cómo hizo Tech-supportcenter para obtener su Javascript en la página de resultados de búsqueda de Google?

Los estafadores no lograron inyectar JS en los resultados de búsqueda. Eso sería un ataque de secuencias de comandos entre sitios con implicaciones de seguridad muy diferentes a las de los anuncios engañosos.

Más bien, la URL de destino mostrada de un anuncio de Google no es confiable y puede ocultar el destino real, así como una cadena de redireccionamientos entre dominios. Los estafadores posiblemente comprometieron a un anunciante externo y secuestraron sus redirecciones para llevarlo al sitio de estafa.

Enmascarar los destinos de enlaces es una característica deliberada de Google AdWords. En general, es posible especificar una URL visible personalizada para un enlace de anuncio que puede ser diferente del efectiva URL final . La idea es habilitar las redirecciones a través de rastreadores y dominios proxy, manteniendo enlaces cortos y descriptivos. Al pasar el cursor sobre un anuncio solo se mostrará la URL visible en la barra de estado, no el destino real.

Aquí hay un ejemplo:

• Estoy buscando "zapatos".
• El primer enlace del anuncio muestra www.zappos.com/Shoes :

• Cuandohagoclicenél,meredireccionanvariasveces:

  https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChXXXXXXXd-6bXXXXXXXXXXXXkZw&ohost=www.google.com&cid=CAASXXXXXp8Yf-eNaDOrQ&sig=AOD64_3yXXXXXXXXXXXXXYX_t_11UYIw&q=&ved=0aXXXXXXHd-6bUXXXXXXXXXwIJA&adurl=--302-->http://pixel.everesttech.net/3374/c?ev_sid=3&ev_ln=shoes&ev_lx=kwd-12666661&ev_crx=79908336500&ev_mt=e&ev_n=g&ev_ltx=&ev_pl=&ev_pos=1t1&ev_dvc=c&ev_dvm=&ev_phy=1026481&ev_loc=&ev_cx=333037340&ev_ax=23140824620&url=http://www.zappos.com/shoes?utm_source=google%26utm_medium=sem_g%26utm_campaign=333037340%26utm_term=kwd-12666661%26utm_content=79908336500%26zap_placement=1t1&gclid=CI3vqXXXXXXXXXXXXXBBA--302-->http://www.zappos.com/shoes?gclid=CI3vXXXXXXXXXXXXXMBBA&utm_source=google&utm_medium=sem_g&utm_campaign=333037340&utm_term=kwd-12666661&utm_content=79908336500&zap_placement=1t1

Obviamente,Googletiene requisitos de destino estrictos para los enlaces de anuncios establecidos y un cliente ordinario ganó No se apruebe su anuncio si establecen el objetivo del enlace en un dominio completamente diferente. Pero los estafadores ocasionalmente encuentran maneras de evitar el proceso de investigación. Al menos, la política de Google sobre "desajustes de destino" es bastante clara:

  

No se permite lo siguiente:

     

• Anuncios que no reflejan con precisión hacia dónde se dirige al usuario   [...]

  

• Redirecciones desde la URL final que llevan al usuario a un dominio diferente [...]

  

Sin embargo, a los anunciantes de terceros de confianza se les puede permitir emitir redirecciones entre dominios. Algunas de las excepciones se enumeran aquí , por ejemplo:

  

Un ejemplo de una redirección permitida es una empresa, como AdWords   Distribuidor autorizado, utilizando páginas proxy. [...]

     

Por ejemplo:

     

• Sitio web original: example.com
  
• Sitio web de proxy: example.proxydomain.com
  

Permitimos que la compañía use "example.proxydomain.com" como final   URL, pero conserva "example.com" como la URL visible.

Un punto débil importante es que Google no controla los redirectores de terceros (en el ejemplo anterior, eso es pixel.everesttech.net ). Después de que Google haya examinado y aprobado sus anuncios, simplemente podrían comenzar a redirigir a un dominio diferente sin que Google lo note de inmediato. Es posible que, en su caso, los atacantes lograron comprometer uno de estos servicios de terceros y señalaron sus redirecciones al sitio de estafa.

En los últimos meses, ha habido varios informes de prensa sobre un patrón de estafa casi idéntico, por ejemplo. este informe sobre un anuncio de Amazon fraudulento cuya URL visible indica amazon.com pero redirige a una estafa de soporte técnico similar.

(Hasta ahora, su descubrimiento también ha sido recogido por algunos sitios de noticias, incluyendo BleepingComputer .)

Este es un abuso común en la publicidad pagada (observe el ícono "Anuncio" en la cola de su flecha izquierda).

Los anunciantes desean realizar un seguimiento de las personas que hacen clic en los anuncios de Google, en parte para confirmar de forma independiente la facturación de clics de Google, y en parte para regalar cookies gratuitas. Así que solicitan a los motores de búsqueda que envíen a los usuarios a un ClickURL que hace eso, y luego los reenvía al destino adecuado. El ClickURL puede estar fuera del sitio, por ejemplo, en la agencia de publicidad.

El anunciante desea proporcionar un DisplayURL separado, que es simplemente la URL que se muestra en el anuncio de texto. Para ocultar la URL fea de la agencia de publicidad, y para mostrar una URL perfectamente mostrada , en lugar de la URL de destino real (que puede ser larga, por ejemplo, una página específica del producto). Los Phishers abusan de este DisplayURL.

El motor de búsqueda nunca recibe la URL de destino (donde el ClickURL debe remitir). Dado que el ClickURL se encuentra a menudo en un dominio diferente al de DisplayURL, esto es difícil de controlar. Target puede retener varios SEO, cada uno con una ID de Gooogle o agencia de publicidad diferente, por lo que no hay nada extraño en una ID de Google aleatoria que publique anuncios con un target.com DisplayURL de repente.

Es bastante probable que el anunciante sea una pequeña empresa y haya sido víctima de suplantación de identidad: es decir, el spammer obtuvo sus credenciales de usuario de Google, descubrió una cuenta de Google Ad con datos de tarjetas de crédito almacenados y está publicando anuncios en su momento.

Un aspecto de esta respuesta proporcionada por Arminius es que tenía que ser una agencia de confianza para Target algún punto. Porque cuando hace una oferta por nombres de marca en AdWords, siempre se marca por motivos de derechos de autor. A menos que su cuenta de AdWords haya sido incluida en la lista blanca. Esta puede ser una lista CSV de cuentas que un nombre de marca / derecho de autor permite para colocar anuncios en Google en su nombre. Consulte el formulario aquí

Así que, aparte de las razones técnicas explicadas en otras respuestas aquí, es casi imposible haberlo hecho sin tener acceso a esa marca dentro de su cuenta de Adwords. Y eso solo puede provenir de una agencia de publicidad en la lista blanca que Target, en algún momento había confiado en su administración de AdWords. O una agencia subcontratada en su nombre que fue pasada por alto.

Si hubiera algún llamado "exploit" para este problema, entonces es este tipo de ingeniería social, es decir: entrar en esa lista blanca como "agencia de AdWords" acreditada en nombre de una marca.

Como información de fondo: Hace unos años era común que se nos ofreciera la "oportunidad" de comprar cuentas de AdWords de las agencias de publicidad recientemente establecidas en China. Las agencias chinas habían tenido acceso a AdWords y aparentemente en un estado de euforia, Google les estaba permitiendo la creación ilimitada de cuentas. Las cuentas que abusaban de los TOS de AdWords, y aparentemente nunca fueron incluidas en la lista negra. Por otro lado, Big Brands estaba externalizando la administración de su cuenta de AdWords a estas agencias chinas porque sus índices de administración eran simplemente demasiado buenos. Este es definitivamente un escenario posible de cómo podría obtener acceso a una marca tan conocida.