背景
最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
Acala Network提醒用户警惕虚假Acala代币销售局:Acala Network官方发推提醒用户,需警惕声称出售所谓Acala代币的局(最新局发生在Uniswap)。目前没有进行官方公开销售,ACA代币尚未生成。所有代币分发将来自Acala官方渠道(推特、网站)。[2020/9/7]
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper,Lido,Stargate,Defillama等。
恶意网站
Web3基金会:DOT目前还不存在,需警惕欺诈销售行为:Web3基金会发推,\"DOT目前还不存在,波卡的原生代币DOT的分配目前在技术和法律上都是不可以转让的,所以任何公开销售的DOT都不会受到Web3基金会的认可,并且可能存在欺诈行为。有关DOT的任何正式销售的信息都会在Web3基金会的网站上宣布,时间在5月上线波卡主网和网络全面去中心化之后,这个时候DOT持有者也将决定代币的发行和转账。\"[2020/4/29]
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件,你会得到实时的风险提醒。
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章。
恶意广告主
动态 | 新华网:炒币、挖矿再度火爆,警惕披着区块链马甲的金融重出江湖:新华网发文《新华视点:“炒币”“挖矿”再度火爆,警惕披着区块链“马甲”的金融“重出江湖”》。文章指出,一些不法分子打着区块链旗号推广宣传虚拟货币、资金盘,将区块链技术等同于虚拟货币,甚至出现“防范代币发行融资风险政策已过时”等言论,有的用“链”“挖矿”“IMO”“STO”等花样翻新的名目,披着区块链的“马甲”开展非法金融活动。目前,上海、北京、广东等多地金融监管部门相继出台措施,对虚拟货币交易场所进行摸排整治。国家互联网金融安全技术专家委员会区块链研究室主任毛洪亮告诉记者,近期、资金盘等不法活动利用区块链概念和发行虚拟货币进行包装,本身与区块链技术无关,涉及资金多,危害严重。[2019/12/4]
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
来自乌克兰的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?
来自加拿大的TRACYANNMCLEISH
绕过审核
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况。
中金网总编辑刘凡:警惕“区块链+”非理性繁荣:5月24日,中国金融信息网总编辑刘凡撰文表示,区块链热,一方面与该技术的去中心化、透明性、不可篡改等独特性分不开;另一方面,区块链热的背后也存在不少问题和风险。特别是以区块链为底层技术的加密货币市场乱象丛生、频发。对监管部门,既要监管到位、有效打击欺诈、违法等行为,又要积极引导、推动行业健康快速发展,这面临巨大挑战;对行业而言,需在区块链关键技术上加快研发与突破,不断完善基础设施,积极推进技术应用落地;对投资者而言,应意识到区块链技术及其应用的不确定性,牢记法律边界,认清投资风险。面对“区块链+”时代,应保持平和、理性的心态,积极拥抱,推动其理性繁荣。[2018/5/24]
参数区分
比如同样的域名:
gclid参数访问就展示恶意网站
币圈大佬提醒你在投资时要警惕几个方面:今天在纽约举行的区块链无国界峰会上,众多大佬对于筛查市场机会时要警惕什么迹象这一问题表达了自己的看法。Celsius创始人Alex Mashinsky表示,警惕短期投资项目,作为投资者最重要的是如何能对平台建立长期的健康管理,对于一些公司短期投资的行为应该警惕,并认为并不是创建社区的正确方式。Pantera Capital投资副总Lauren Stephanian表示,区块链公司管理层要有技术团队,很多区块链公司并没有思考自己的架构,他们在更多程度上是参考被人的架构,这是值得警惕的地方。Block VC创始合伙人Kevin Hsu表示,区块链是技术支撑的产业,很多初创公司的动力来源有可能本末倒置,他们并没有对区块链有一个自己的见解,只是把区块链当成筹集资金的一种方式,并没有认识到区块链发展的真正目的。[2018/5/13]
不带就是卖AV接收器的正常页面
gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。
防止调试
同样有些恶意广告还存在反调试:
开发者工具:禁用缓存开启→跳转到正常网站
直接打开→跳转到恶意网站
对比分析我们发现他们是通过请求头cache-control的差异来跳转到不一样的连接,在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于GoogleAds有什么改进办法?
接入Web3Focus的恶意网站检测引擎。
持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。
被盗预估
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约$4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
资金流向
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341
广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在1-2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
作者:Biteye核心贡献者?Lucky编辑:Biteye核心贡献者Crush4月21日,据币安官方公告,Binance即将上线第31个Launchpad项目OpenCampus.
1900/1/1 0:00:00蓝色光标2022年年度报告出炉,巨亏21.75亿元,其中20.38亿亏损因商誉、无形资产及其他资产减值造成,而在实际亏损业务中,元宇宙占比不小.
1900/1/1 0:00:00原文:《AreL2sComplementarytoETH?》byMichaelNadeau编译:0x11,ForesightNewsL2来到了高光时刻.
1900/1/1 0:00:00作者:Web3Traveler保持乐观,拥抱趋势,融入潮流,冷静思考,深入研究,或许是我们每一名Web3用户该做的事4月11日,知名投资公司a16z发布StateofCrypto2023报告.
1900/1/1 0:00:002021年,虚拟数字技术被纳入“十四五”规划纲要。2022年1月,《“十四五”数字经济发展规划》再次提出深化人工智能、虚拟现实等技术融合,拓展多领域应用,支持实体消费场所建设数字化消费新场景.
1900/1/1 0:00:00全面拥抱AIGC,蓝色光标全面暂停外包?一份文件截图显示,中国知名4A广告公司,蓝色光标,发邮件要求全面停用文案外包!改用生成式AI!蓝色光标华东区总部运营采购部下发邮件,邮件显示.
1900/1/1 0:00:00