Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads

Cybercriminelen richten zich volgens Malwarebytes op Google Ads-adverteerders door middel van valse Google Ads. Na zo'n account te hebben bemachtigd kunnen de hackers ervoor kiezen om de gegevens te verkopen of zelf te gebruiken om meer reclames te posten.

Het cybersecuritybedrijf schrijft in een blogpost dat malafide partijen phishingpagina's vermommen als een officiële Google Ads-website. Die is bovenaan te zien in Google-zoekresultaten, omdat de valse pagina een Google Ads-reclame is. Bovendien hosten de hackers de website bij Google Sites, waardoor die er op het eerste gezicht legitiem uitziet. Ze kunnen namelijk 'ads.google.com' gebruiken in de url, omdat die hetzelfde domein gebruikt als 'sites.google.com'.

Zodra Google Ads-gebruikers hun logingegevens hebben ingevuld op de phishingpagina, maken de hackers een nieuw administratoraccount aan en proberen ze het slachtoffer de toegang tot het account te ontzeggen. Malwarebytes vermoedt dat de hackers sommige accounts illegaal doorverkopen en andere behouden om de neppe reclamecampagne voort te zetten, op kosten van het slachtoffer.

Het beveiligingsbedrijf identificeerde twee voorname groeperingen, waarvan eentje waarschijnlijk opereert vanuit Brazilië. Daarnaast is er nog een derde 'campagne', waarbij malware wordt verspreid. Het is niet duidelijk of deze gerelateerd is aan de eerste twee groeperingen.

Een screenshot van de valse Google Ads-pagina van Malwarebytes. — Een screenshot van de valse Google Ads-pagina. Bron: Malwarebytes.

Reacties (35)

Zomborro 17 januari 2025 16:10

Lees ik hier nu nog een extra reden om PiHole te installeren?

IamGrimm @Zomborro • 17 januari 2025 16:14

Jazeker, al was dat natuurlijk al langer aan de gang. Malafide reclame is jaar en dag een probleem.

Marktplaats heeft hier ook flink last van gehad bijvoorbeeld (en is zeker niet de enige). Naast malafide reclame is er ook een hoop gesexualiseerde reclame op YouTube kids en zijn er een hoop andere problematische ads.

Het blocken van reclame is niet alleen prettig, zolang Google geen goede vetting doet van hun ads is het voor mij geen optie. Het is actief een gevaar voor je data, account, en soms portomonnee.

phoenix2149 @Zomborro • 17 januari 2025 16:20

Heb adguard op telefoon en tablets van kids (DNS profile) wat perfect werkt. Geen youtube adds op YT kids merk ik. Gesponsorde links en adds in apps worden direct geblokkeerd. krijg veel extra's in games door video's te kijken die ik niet krijg

Oh. Was als antoowrd op @IamGrimm bedoeld.

[Reactie gewijzigd door phoenix2149 op 17 januari 2025 16:26]

3raser @Zomborro • 17 januari 2025 16:19

Niet echt. Ze proberen zo aan accounts te komen om advertenties te maken op andermans kosten. Die advertenties op zich konden al gemaakt worden.

Zyppora @3raser • 17 januari 2025 16:23

Advertenties waarvoor dan? Het zullen waarschijnlijk geen schone ads zijn dus antimalware software draaien zoals pihole is zeker wel een aanrader.

3raser @Zyppora • 17 januari 2025 16:26

Ongetwijfeld. Maar aangezien dat al kon is dit geen extra reden voor PiHole toch? Deze scammers proberen nu vooral aan accounts te komen om gratis advertenties te maken in plaats van dat ze er zelf voor zouden moeten betalen (met gestolen creditcards uiteraard).

phoenix2149 @3raser • 17 januari 2025 17:55

Wellicht zal dergelijke links niet via een bekende URL/DNS lopen die voor PiHole bekend is.

Of haalt PiHole ook sponsoren links weg in de zoekresultaten?

Zer0 @Zomborro • 17 januari 2025 16:23

Nee, want dat gaat tegen deze methode geen invloed hebben, tenzij je heel google blokkeert.

Polderdijk 17 januari 2025 16:25

Zie de slechte controle op Adwords. Zelfs Google doet geen moeite om zijn eigen merk te beschermen, zolang het maar geld kan harken. Laat staan haar gebruikers beschermen.

Lang leve de DNS blacklists.

PearlChoco @Polderdijk • 17 januari 2025 16:43

Waanzin gewoon. Google is in mijn ogen 100% verantwoordelijk voor letterlijke élke reclame boodschap die ze op hun sites verkopen. Ze moeten elke boodschap maar manueel controleren vooraleer ze die toelaten.
Ze verdienen er genoeg miljarden dollars mee.

Een krant kijkt ook na welke reclame het afdrukt, en een TV station zal ook wel weten welke reclame clips het tussen zijn programma's afspeelt. Waarom Google dan niet?

hiostu @PearlChoco • 17 januari 2025 17:07

Helemaal mee eens, ook zijn er zo veel dubieuze reclames op sites zoals Youtube. En dan rapporteer je die en doodleuk terug dat het voldoet aan de richtlijnen. Nou leuk, maar niet aan de regels die wij hier in Nederland stellen aan reclames. Reclame vol met claims die onwaar zijn of niet te bewijzen zijn. Dus waarom hoeven de reclames die Google serveert niet aan de Nederlandse Reclame Code te voldoen?

Bender @PearlChoco • 17 januari 2025 17:08

Is een hostingprovider ook 100% verantwoordelijk voor de files op hun server?

Edit:
Het is een retorische vraag, dat zijn ze namelijk niet per direct.
Middels en Notice and Takedown verzoek kan er verzocht worden om bestanden offline te halen, mochten ze dit niet doen dan kan het verhaal gaan spelen dat ze wel verantwoordelijk worden.

[Reactie gewijzigd door Bender op 17 januari 2025 17:43]

moonlander @PearlChoco • 17 januari 2025 18:21

Leuk bedacht, maar een krant of magazine kijkt daar ook niet naar. Stel je gaat een advertentie verkopen voor 150 euro voor in de krant, dan kun je daar niet uren onderzoek naar doen. Een snelle scan doen ze uiteraard maar niet meer dan dat. Tv reclame gaat om duizenden euros, daar is iets meer communicatie mee tussen de twee partijen. Maar op tv maken ze ook dikke blunders hoor, kijk maar naar de waterontharder Amfa4000. 2 magneetjes en je hebt heerlijke koffie en zachter haar.

Robinio010 @moonlander • 18 januari 2025 06:32

Van een Amfa4000 raak je niet al je wachtwoorden kwijt. Tenminste… Je weet natuurlijk niet wat die magneetjes wél doen.

Robinio010 @PearlChoco • 18 januari 2025 06:28

Absoluut mee eens. Financieel kan dat prima uit lijkt me. Het enige is: een website die de ene dag in orde is, kan na goedkeuring van de ads de volgende dag malafide zijn.
Dus eigenlijk moet er ook iets gebeuren op domein/certificaatniveau, dat websites altijd te herleiden zijn aan een persoon (als ze willen adverteren).

[Reactie gewijzigd door Robinio010 op 18 januari 2025 06:30]

vickypollard @Polderdijk • 17 januari 2025 16:29

Op zich zou 'Google Ads' natuurlijk ook niet een verboden term moeten zijn. Genoeg bedrijfjes die adverteren dat ze voor je kunnen adverteren in Google Ads en dan dus het merk gebruiken. Het is wel idioot dat Google je een eigen 'pretty URL' laat invullen. Heb er zelf vaak in gewerkt en dat altijd al bijzonder gevonden, omdat je er gewoon alles kunt neerzetten wat je maar wilt.

jaapzb @vickypollard • 17 januari 2025 16:41

Lijkt me dat je zoiets toch redelijk kan afvangen door een DNS-challenge te doen waarmee degene die de reclame maakt eerst moet bewijzen dat ze controle hebben over het domein van de pretty URL. Vreemd dat ze dat niet doen.

Ricco02 17 januari 2025 17:05

Is de gehele reden waarom ik nooit de Sponsored link aanklik die helemaal bovenaan staat.

Servowire 17 januari 2025 17:07

Daarom adblocker.

EXos @Servowire • 17 januari 2025 18:45

Lang Lever Ublock Origin!

Beetje apart om op Tweakers een ad-blocker aan te prijzen. Maar het was tweakers in de 00's, met een zelf spelende 100% VOLUME!!!! FBTO advertentie ergens halverwege de pagina die mij heeft aangezet om een ad-blocker te installeren. En nooit meer uitgezet. Zeker niet met de telkens terugkomende malafide advertenties.

Klauwhamer @EXos • 18 januari 2025 00:40

Daar wil ik aan toevoegen dat ik in het verleden eens een Tweakers-medewerker -zijn naam is mij ontschoten- is geweest die bijzonder stellig in de overtuiging was dat ads geen significante security vulnerabilty vormden, terwijl ook vóór die discussie die ik met 'm voerde al gelazer was met ad(servers).

Ik las ergens de analogie van een feestje thuis geven, waarbij je uitnodigingen stuurt. Als je X uitnodigt, en X komt ongevraagd met Y en Z die in je plantenbakken pissen, alle borrelnootjes opvoeren aan de kat, spookbiertjes verzorgen, handtastelijk worden, en misplaatste racistische grappen blijven maken, trap je ze 't huis uit (en nodig je X ook niet meer uit).

Het is wel mooi geweest. AdNauseam op je flikker. Zoek maar een ander verdienmodel.

Keuvie @Klauwhamer • 18 januari 2025 01:51

Als ik het goed begrijp geef je aan dat advertenties onveilig (kunnen) zijn, en gebruik je nu een extensie die voor jou alle advertenties aanklikt?

Klauwhamer @Keuvie • 18 januari 2025 07:37

Ja. Als je denkt dat dit onnozel is, moet je toch echt inlezen in hoe ads binnenkomen en wat AdNauseam daarmee doet; dat men zegt op de link te klikken is -overduidelijk- een layman's term.

batjes

Advertenties

@Klauwhamer • 18 januari 2025 21:48

Tweakers heeft ooit in een ver verleden zelf malware geserveerd d.m.v. ads.

Robru1 17 januari 2025 16:10

Hoe krijgen die hackers het verzonnen!

mphilipp 17 januari 2025 16:12

Hmm...dit is al eerder gebeurd een aantal jaren geleden. Je zou zeggen dat men daarvan geleerd heeft en de procedures/controles heeft aangescherpt. Of de hackers zijn nog slimmer geworden.

[edit]
ohwacht...dit is phising, het voorval van een aantal jaren geleden was het verspreiden van malware. Maar ja..het is dezelfde categorie: misbruik van iets dat 'vertrouwd' is/aandoet. Gelukkig heb ik een adblocker.

[Reactie gewijzigd door mphilipp op 17 januari 2025 16:14]

WokBoy

@mphilipp • 17 januari 2025 17:04

Het probleem natuurlijk is de advertentiemarkt. En dan bedoel ik niet de abstracte markt, maar de letterlijke handelsplatformen waar reclameruimte en -tijd verhandeld worden. Toezicht is minimaal, beveiliging is ondermaats, het proces is ondoorzichtig en er zijn heel veel van die platforms. Het is zeker niet de eerste keer dat advertenties worden gebruikt om malware of andere zooi op te piggybacken

mphilipp @WokBoy • 17 januari 2025 20:42

Wat ik heb begrepen is dat het voornamelijk niet door mensen gebeurt. Misschien dat er bij het aanmaken van je account een soort van controle plaatsvindt, maar vervolgens kun je je advertenties uploaden en aan je campagne werken. Waar en waneer die advertenties getoond worden, wordt voornamelijk door bots gedaan. Een vriend van mij heeft ooit bij zo'n bedrijf gewerkt waar ze dat soort software maakten. Die bots gedragen zich als broker en 'onderhandelen' met de andere bots over welke add ze aan jou gaan presenteren. En dat gebeurt allemaal terwijl de door jou opgevraagde pagina wordt opgebouwd.

DigitalExorcist 17 januari 2025 16:13

Dit gebeurd al járen.. vaak ook met veelgebruikte software als Putty, WinSCP, VLC Player etc..

Speedster 17 januari 2025 17:13

Ik wil niet de taal nazi uithangen maar Neppe?

Sensor55 @Speedster • 18 januari 2025 12:12

"Neppe" mag, ben het al vaak tegengekomen.

Dutchzilla 17 januari 2025 17:44

Moeten we alle cybercriminelen hackers noemen?

Persoonlijk vind ik het versturen van phishingmails niet echt onder hacken vallen. Het verzamelen van persoonlijke gegevens via phishingmails wordt tot in de kleinste details op het internet uitgelegd, en je hoeft er in principe geen ervaring met hacken voor te hebben. Hetzelfde geldt voor mensen die DDoS-aanvallen uitvoeren en als hackers worden bestempeld.

laurens0619 17 januari 2025 19:52

Hoe moeilijk kan het zijn dat het domein van de target url moet overeen komen met de domein van url die getoond wordt?

Ja dan vallen er eventuele externe trackers om, moeten ze die maar via hetzelfde domein hosten.

Op dit item kan niet meer gereageerd worden.

Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads

Lees meer

Reacties (35)

Sorteer op:

Weergave: