背景
最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper, Lido, Stargate, Defillama等。
加拿大CSA发起活动以提醒投资者警惕加密货币局等欺诈活动:加拿大证券监管机构(CSA)在3月发起了“欺诈预防月”活动,以提醒加拿大人在做出投资决定之前进行“全面了解”。CSA成员也在加拿大各地开展了行动以强调研究投资的重要性。其中,萨斯喀彻温省金融和消费者事务局(FCAA)发起了一项欺诈预防运动,以提高人们对涉及加密货币的局的认识。曼尼托巴省证券委员会(MSC)将于3月18日中午在Facebook举办“保护家庭免受欺诈”在线活动,重点是预防欺诈。来自MSC和温尼伯警察局的专家将作特别演讲,介绍如何识别和避免各种形式的金融欺诈,包括加拿大目前存在的,如加密货币欺诈等。(Newswire)[2021/3/10 18:30:06]
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的 $SUDO的授权。如果你安装了Scam Sniffer的插件,你会得到实时的风险提醒。
公告 | 火币:警惕Telegram群“HT搬砖套利”局,火币中文官方社群已迁往火信:火币官方接到用户反馈,近期Telegram上“HT搬砖套利”局信息再次增多。不法分子以火币名义组建“火币Global官方搬砖套利中文群”的Telegram群进行。该局假借“搬砖套利”的说辞,诱导用户将个人ETH转入某钱包中,再从钱包转入者的收款地址,之后会按照比例给用户转假“HT”(非火币官方发行的Huobi Token)从而取用户资产。火币表示,火币从未发起过“搬砖套利”的活动。也不会以任何形式向用户索要账号密码、短信及谷歌验证码等信息。同时,目前火币官方中文Telegram群都在禁言状态,火币中文官方社群已迁往火信。请用户做好识别,谨防其他形式的手段。[2020/2/25]
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章。
动态 | 匈牙利央行:警惕有关提供Libra“预售”的活动:金色财经报道,匈牙利央行——匈牙利国家银行(MNB)发布警告称,一些外国互联网门户网站(如Uplibra、Calibra和Buylibracoins等)最近声称将提供Facebook尚未推出的加密货币Libra的“预售”,而买家可以将“购买”的加密货币储存在实际上并不存在的电子钱包中。者们还承诺,任何新加入该预售活动的用户都可以获得免费的加密货币。据悉,客户在通过社交媒体信息访问多个克隆门户网站后,这些网站可能会把他们的数据、照片和密码提供给犯罪分子。(BBJ)[2020/2/7]
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ В?ДПОВ?ДА-ЛЬН?СТЮ ?РОМУС-ПОЛ?ГРАФ?
新华每日电讯发文 监管:警惕“歪嘴和尚”利用自媒体忽悠:5月18日,新华每日电讯刊文“监管:警惕‘歪嘴和尚’利用自媒体忽悠”。文中指出,中国人民大学国际货币研究所研究员曲强说,“数字货币炒作活动开始向普通大众蔓延。各类面向普通大众的微信群和‘区块链投资’讲座、聚会开始兴起,吸引不少怀着猎奇和求富心态的民众参与。这是数字加密货币泡沫扩大走向危险的标志之一。”业内人士透露,有些发币机构、大V名嘴、投资人等利益相关方利用媒体平台的属性,肆意鼓吹数字货币,误导公众认知,并通过变相发行代币圈钱,已经成为代币发行造假产业链上的一环。有关部门应创新管理、加强管理,才能避免区块链被那些“歪嘴和尚”玩坏,才能让区块链健康发展。[2018/5/19]
来自加拿大的TRACY ANN MCLEISH
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况。
比如同样的域名:
gclid参数访问就展示恶意网站
不带就是卖AV接收器的正常页面
gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。
同样有些恶意广告还存在反调试:
开发者工具: 禁用缓存开启 → 跳转到正常网站
直接打开 → 跳转到恶意网站
对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接,在开发者工具开启Disable Cache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于Google Ads有什么改进办法?
接入Web3 Focus的恶意网站检测引擎 (如ScamSniffer)。
持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约 $4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap, Tornado.Cash。有些直接进了KuCoin, Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341广告投入估算根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在1-2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在 $15k左右。那么可以估算ROI大概在276% = 414/15
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
Scam Sniffer
个人专栏
阅读更多
金色荐读
金色财经 善欧巴
Chainlink预言机
白话区块链
金色早8点
Odaily星球日报
欧科云链
深潮TechFlow
MarsBit
Arcane Labs
前两天,一个C字打头的区块链安全审计公司审计过的项目Merlin DEX卷款200万美刀跑路,在业内引起了不大不小的震动.
1900/1/1 0:00:00近日的市场热度令人焦虑,但真的这么多人在 BRC-20 上赚钱了吗?纵览推特,众多 KOL 号称在 BRC-20 大赚了一笔,纷纷分享心得,目前.
1900/1/1 0:00:00原文作者:Ledger 团队成员 Kouk.eth、NFT投资者 Moritz原文编译:PANews在开始进入正题之前,首先需要明确一点,即:尽管市场出现暂时下跌.
1900/1/1 0:00:00作者:George Georgiev Memecoin 似乎是加密行业周期性市场波动的必备产物,时不时地,就有一个全新的 Memecoin被市场炒作起来.
1900/1/1 0:00:00来源:Bankless编译:比推BitpushNews Mary Liu以太坊生态系统比它需要的更加中心化。我们经常称赞质押的可访问性,但很少讨论大量 Ether 质押在了 Lido.
1900/1/1 0:00:00摘要以Chatgpt为代表的人工智能的能力正在迅速接近人类,并且已经在许多利基领域超越了人类。越来越强大的模型似乎越来越超出人控制的可能, AI既可以助人,也存在“鸠占鹊巢”挤占人类的存在空间和.
1900/1/1 0:00:00