Connect with us

technologia

Złośliwe reklamy hostowane przez Google prowadzą do fałszywej witryny Keepass, która wygląda jak prawdziwa – Ars Technica

Published

on

Złośliwe reklamy hostowane przez Google prowadzą do fałszywej witryny Keepass, która wygląda jak prawdziwa – Ars Technica

Obrazy Miragec/Getty

Google został przyłapany na udostępnianiu złośliwej reklamy, która była tak przekonująca, że ​​istniała duża szansa na oszukanie niektórych bardziej dbających o bezpieczeństwo użytkowników, którzy się z nią zetknęli.

Zrzut ekranu złośliwej reklamy hostowanej w Google.
Powiększać / Zrzut ekranu złośliwej reklamy hostowanej w Google.

Malwarebytes

Jeśli spojrzysz na reklamę, która rzekomo jest reklamą menedżera haseł Keepass o otwartym kodzie źródłowym, nie możesz rozpoznać, że jest fałszywa. W końcu to Google twierdzi, że sprawdza zawarte w nim reklamy. Aby sztuczka była jeszcze bardziej przekonująca, kliknięcie na nią prowadzi do ķeepass[.]Informacje, które po wyświetleniu w pasku adresu są wyświetlane jako prawdziwa strona Keepass.

Zrzut ekranu z keepass.info w adresie URL i logo Keepass.
Powiększać / Zrzut ekranu z keepass.info w adresie URL i logo Keepass.

Malwarebytes

Jednak bardziej szczegółowy link pod linkiem pokazuje, że jest to strona nie prawdziwy. Właściwie, eeepass[.]info – przynajmniej gdy pojawia się w pasku adresu – to po prostu zakodowany sposób oznaczania xn--eepass-vbb[.]info, jak się okazuje, rozprzestrzenia rodzinę złośliwego oprogramowania o nazwie FakeBat. Połączenie reklamy w Google ze stroną internetową o niemal identycznym adresie URL tworzy niemal idealną burzę oszustw.

„Użytkownicy są najpierw oszukiwani przez reklamę Google, która wygląda na całkowicie legalną, a potem ponownie przez podobną domenę” – napisał w jednym z komentarzy Jérôme Segura, szef działu analizy zagrożeń w firmie Malwarebytes, dostawcy zabezpieczeń Napisz w środę To ujawniło oszustwo.

Z informacji dostępnych w Centrum przejrzystości reklam Google wynika, że ​​reklamy są wyświetlane od soboty, a ostatni raz pojawiły się w środę. Za reklamy zapłaciła firma Digital Eagle, która według strony poświęconej przejrzystości jest reklamodawcą, którego tożsamość została zweryfikowana przez Google.

Zrzut ekranu strony Przejrzystości reklam Google zawierającej informacje o firmie Digital Eagle, Inc.
Powiększać / Zrzut ekranu strony Przejrzystości reklam Google zawierającej informacje o firmie Digital Eagle, Inc.

Malwarebytes

Przedstawiciele Google nie odpowiedzieli natychmiast na e-mail wysłany po godzinach pracy. W przeszłości firma zapewniała, że ​​usuwa fałszywe reklamy tak szybko, jak to możliwe po ich zgłoszeniu.

READ  Wygląda na to, że Kadabra może wreszcie wrócić do Pokémon TCG

Zręczność, która umożliwiła oszukańczą witrynę xn--eepass-vbb[.]informacje mogą być wyświetlane jako ķeepass[.]info to schemat kodowania znany jako Punycode. Umożliwia reprezentowanie znaków Unicode w standardowym tekście ASCII. Jeśli przyjrzysz się uważnie, z łatwością zobaczysz małą cyfrę przypominającą przecinek tuż pod literą k. Gdy numer pojawia się w pasku adresu, równie łatwo go przeoczyć, zwłaszcza jeśli adres URL jest zabezpieczony ważnym certyfikatem TLS, jak ma to miejsce w tym przypadku.

Wykorzystywanie oszustw opartych na złośliwym oprogramowaniu wykorzystującym Punycode ma długą historię. Dwa lata temu oszuści wykorzystali reklamy Google, aby skierować ludzi do witryny, która wyglądała niemal identycznie jak brawa.com, ale w rzeczywistości była kolejną złośliwą witryną, która rozpowszechniała fałszywą, złośliwą wersję przeglądarki. Technika Punycode po raz pierwszy zyskała szerokie zainteresowanie w 2017 r., kiedy twórca aplikacji internetowych stworzył witrynę weryfikującą koncepcję udającą apple.com.

Nie ma niezawodnego sposobu na wykrycie złośliwych reklam Google lub adresów URL zakodowanych w Punycode. Wysyłanie ķeepass[.]Informacje we wszystkich pięciu głównych przeglądarkach prowadzą do strony z oszustwem. W razie wątpliwości użytkownicy mogą otworzyć nową kartę przeglądarki i ręcznie wprowadzić adres URL. Jednak nie zawsze jest to możliwe, jeśli są długie. Inną opcją jest sprawdzenie certyfikatu TLS, aby upewnić się, że należy on do witryny widocznej w pasku adresu.

Continue Reading
Click to comment

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *