警惕谷歌搜索廣告的區塊鏈騙局

背景

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例，他们都无一不例外错点了Google的搜索广告从而进入到恶意网站，并在使用中过程签署了恶意签名，最终导致钱包里的资产丢失。

恶意广告

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面，大部分用户可能对搜索广告没有概念就直接打开第一个了，然而这些都是假冒的恶意网站。

定向品牌

南通日报：警惕披着“区块链”外衣的非法集资风险:8月1日，南通日报刊文《警惕披着“区块链”外衣的非法集资风险》。文章称，一些不法分子打着“金融创新”“区块链”的旗号，通过发行所谓“虚拟货币”“虚拟资产”“数字资产”等方式吸收资金，侵害公众合法权益，甚至出现类似“《关于防范代币发行融资风险的公告》已过时”等言论。此类活动并非真正基于区块链技术，而是炒作区块链概念行非法集资、、之实。[2020/8/1]

通过分析了部分关键词，我们定位到了一些恶意的广告和网站，如Zapper,Lido,Stargate,Defillama等。

恶意网站

声音 | 学习时报：要警惕区块链技术带来的制度监管风险、法律漏洞等5种安全风险:12月18日，学习时报刊文《积极做好区块链技术的安全风险评估及治理》。文章指出，区块链技术的前景十分值得期待。但同时，我们要警惕区块链技术带来的制度监管风险、法律漏洞、社会风险、金融风险和意识形态风险。

为使区块链技术稳健发展，我们非常有必要从上层建筑的角度，对区块链技术安全风险的治理提出相应对策。1.在制度层面，国家应拓宽区块链技术的法律法规覆盖；2.社会层面，政府应积极发挥对区块链技术治理的优势效用；3.思想层面，积极发挥价值引领作用。

总而言之，我国必须从实际出发，准确把握技术和产业发展趋势，多方面多层次加强对区块链技术的规划和引导，才能有力应对区块链技术带来的安全风险，维护国家的长治久安。[2019/12/18]

打开一个Zapper的恶意广告，可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件，你会得到实时的风险提醒。

目前很多钱包对于这类签名还没有明确的风险提示，普通用户很可能以为是普通的登陆签名，顺手就签了。关于更多Permit的历史可以看看这篇文章。

恶意广告主

声音 | 南方日报：警惕披上区块链马甲，相关部门必须有所作为:南方日报今日发文表示，区块链作为一种具有颠覆性的核心技术，具有广泛的应用场景，但有些人却动了歪脑筋，利用许多人对区块链的好奇心，把术和区块链、数字货币“融合”了。所谓新术并不新鲜，不过是给原本的套路披上了区块链、数字货币这类新概念的“马甲”，是换汤不换药的局。发现真相需要穿透层层迷雾，相关部门必须有所作为。值得注意的是，的受害者也有违法犯罪的危险。国家相关部门负责人曾就《禁止条例》明确：“对多次参加、屡教不改，虽不属于骨干分子，但又确实诱他人并给他人造成损失的参加者，由工商部门责令停止违法活动，可处2000元以下的罚款。”可见，如果意识到自己被，却为虎作伥想多拉一些人垫背，也有可能被追究责任。[2019/11/20]

通过分析这些恶意广告信息，我们发现这些恶意广告来自这些广告主的投放:

动态 | 美俄亥俄州消防局提醒居民警惕比特币支付电力费用的局:据News 5 Cleveland消息，美国俄亥俄州克利夫兰高地消防局要求居民注意注意那些以企业主为目标的子，他们假装是照明公司的员工，要求支付比特币以避免断电。最近的两起事件涉及者要求受害者通过比特币ATM付款。克利夫兰高地消防局提醒居民，电力公司不接受比特币付款，“电力公司不会在当天或周末关闭时拨打电话威胁人们，只有者这样做。”[2019/4/10]

来自乌克兰的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

来自加拿大的TRACYANNMCLEISH

绕过审核

通过分析这些恶意广告，我们发现了一些有意思的用于绕过广告审核的情况。

参数区分

天津市机关：警惕以“虚拟货币”“区块链”为幌子的非法集资活动:天津日报6月8日报道，天津市处非办与机关提醒广大群众，务必警惕以投资“虚拟货币”“区块链”为幌子的“投资”“理财”项目。天下不会掉馅饼，高收益必然伴随高风险。非法集资不受法律保护，参与非法集资风险自担。[2018/6/8]

比如同样的域名：

gclid参数访问就展示恶意网站

不带就是卖AV接收器的正常页面

gclid是Google广告用于追踪点击的参数，如果你点击Google的搜索广告结果，链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页，这样一来就绕过了谷歌的广告审核。

防止调试

同样有些恶意广告还存在反调试：

开发者工具:禁用缓存开启→跳转到正常网站

直接打开→跳转到恶意网站

对比分析我们发现他们是通过请求头cache-control的差异来跳转到不一样的连接，在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外，一些爬虫可能也会开启这个头保证抓取到最新的内容，这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象，这些铺天盖地的恶意广告是通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被用户看到，从而造成了严重的损失。

那么对于GoogleAds有什么改进办法？

接入Web3Focus的恶意网站检测引擎。

持续监控投放前和投放后整个生命周期中的落地页情况，及时发现中间动态切换或通过参数跳转这种情况的发生。

被盗预估

为了分析潜在的规模，我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现，一共大约$4.16m被盗，3k个受害者。大部分被盗发生在近期一个月左右。

数据详情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

资金流向

通过分析几个比较大的资金归集地址，有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。

几个较大的资金归集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

广告投入估算

根据一些广告分析平台，我们能了解到这些关键词的单次点击均价在1-2左右。

链上受害者地址数量大约在3000，如果所有受害者都是通过搜索广告点击进来的，按40%的转化率来算，那么点进来的用户数大约在7500。

基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

总结

通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被消费者看到，继而对用户造成了严重的损害。

希望各位用户在使用搜索引擎的时候多加防范，主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查，保护用户！

标签：区块链GLEGOOCAM国内最好的区块链公司Mirrored GoogleGood Games Guildcamel币官网

火必交易所热门资讯