Criminelen maken misbruik van Google AdWords

Op het blog van het bedrijf Exploit Prevention Labs wordt melding gemaakt van misbruik van Google AdWords door criminelen. Ogenschijnlijk legitieme advertenties leiden een bezoeker naar een site waar geprobeerd wordt malware te installeren.

BBB-advertentie Verschillende zoekopdrachten op Google laten op het oog normale advertenties zien, onder andere van het Better Business Buro, een organisatie die waarschuwt voor malafide bedrijven. Bezoekers van de zoekmachine die op de gesponsorde koppelingen klikken, komen uiteindelijk ook uit op de geadverteerde website, maar niet voordat ze langs de site smarttrack.org zijn gestuurd. Op deze site wordt getracht malware te installeren door misbruik te maken van een lek in Microsofts Data Access Components. Er worden een backdoor en een logger die http-verkeer scant geïnstalleerd.

De logger is speciaal ontworpen om misbruik te maken van internetbankiersystemen van ongeveer 100 verschillende banken. Er wordt extra html geïnjecteerd in de betreffende sites. Ook worden gebruikersnamen en wachtwoorden van websites gelogd. Doordat de logger een zogenaamd browser helper object is, biedt een ssl-verbinding geen bescherming: de logger zit aan het einde van de connectie en ziet alleen onversleuteld verkeer. Links naar sites met malware zijn natuurlijk niet nieuw, op iedere zoekmachine zullen duizenden links verwijzen naar malafide websites. Het probleem met de links in de advertenties is echter dat de bezoeker niet kan controleren naar welke website hij wordt gestuurd, alle kliks op een AdWords-advertentie gaan via het advertentiebeheersysteem op de website van Google.

IT-banen

Reacties (36)

Fire69 26 april 2007 22:35

IE7 (en andere goeie browsers

) installeren toch niet zomaar die BHO zonder eerst toestemming te vragen?

BasieP @Fire69 • 26 april 2007 22:39

je zal verbaast staan over de hoeveelheid mensen met een oude en niet up2date versie van IE..
(en ja hier noem ik expliciet IE (6) omdat dit de enige browser is die ik ken waarbij (zonder updates) op grote schaal software geinstalleerd wordt op je pc..)

zie o.a. dit bericht:
nieuws: Malware leunt niet langer op e-mail

RRRobert @BasieP • 27 april 2007 08:34

@ BasieP: Je wilt niet weten hoeveel gebruikers er nog gedwongen worden door te werken met IE6. Privé gebruik ik zowel FireFox als IE7, maar op mijn werk moet ik nog steeds met IE6 werken, simpel weg omdat er bij ons nog steeds bedrijfsspecifieke applicaties draaien die onder IE7 niet goed presteren of zelf helemaal niet werken...

Mizitras @Fire69 • 26 april 2007 22:38

Elke nitwit gebruiker geeft die toch?

Anoniem: 212607 @Fire69 • 26 april 2007 22:40

Het gaat hier over exploits. Die zijn gemaakt, om net die vraag of je een bepaald programma wel wil installeren, te omzeilen. Of die exploit ook werkt in IE7 zou ik niet zo direct kunnen zeggen, maar dat het ergens aanwezig is, is al jammer genoeg.

Mocht google ons ook werkelijk de link laten zien waar we naartoe worden gestuurd wanneer we boven de link hoveren met de muis dan zouden we als gebruiker een groter zicht hebben op dit soort zaken.

Achja, marktleiders gaan enkel voor het geld. Ik ben benieuwd of google er binnen de komende dagen iets aan gaat doen of het op de lange baan gaat schuiven.

J.J.J. Bokma @Anoniem: 212607 • 27 april 2007 00:21

"Mocht google ons ook werkelijk de link laten zien waar we naartoe worden gestuurd wanneer we boven de link hoveren met de muis dan zouden we als gebruiker een groter zicht hebben op dit soort zaken."

Uhm, ik gok dat het aantal mensen dat dit doet nog veel kleiner is dan het aantal mensen dat veilig surft. Nutteloos dus en kinderachtig om daar Google op aan te vallen.

TheCapK @J.J.J. Bokma • 27 april 2007 08:16

Maar als Google het wel veranderd kunnen ze in ieder geval zeggen dat ze hun best doen. Als ze het gewoon laten zoals het is dan wordt juist het vertrouwen in Google kleiner.

martijnve @Fire69 • 26 april 2007 22:43

"wordt getracht malware te installeren door misbruik te maken van een lek in Microsofts Data Access Components"

Er wordt dus gebruik gemaakt van een lek in IE waardoor er geen toestemming nodig is. Dus het probleem lijk me nu net dat IE7 geen goede browser is

Dus:
Alle mensen met linux (zou FF onder windows ook veilig zijn?) klik op die link en verbras het geld van die illegalies

bush @martijnve • 27 april 2007 07:14

Ik weet niet waar jij de link vandaan haalt tussen MDAC en IE7.
Ik heb niet direct meer info over deze exploit gevonden, maar ik vind jouw conclusie nogal simplistisch

mxcreep @bush • 27 april 2007 09:01

En dat is jou eigen reaktie niet wil je zeggen ?
Misschien dat bovenstaande meneer dankzij bijvoorbeeld zijn werk of opleiding iets meer kennis in huis heeft dan jij waardoor hij bepaalde verbanden wel weet te leggen die jij blijkbaar niet kan leggen...beetje voorbarig, vraag hem dan naar uitleg. Met de reaktie zoals je die hier geeft zal hij daar niet snel toe geneigd zijn lijkt me zo.

Free rider 26 april 2007 22:54

Vreemd verhaal, omdat deze advertentie ingaat tegen de Google Adwords linkpolicy
http://www.google.com/adw...ingcenter/text/18928.html

Deze stelt dat de "visible url" (de getoonde url) en de "landing page" (de bestemming url) in dezelfde zone moeten liggen. Als deze verschillen voorkomen wordt de advertentie standaard geweigerd, ik begrijp niet hoe deze erdoor kwam.

-Jaap-io

@Free rider • 27 april 2007 07:55

misschien eerst de advertentie aanmaken volgens de geldende richtlijnen en deze nadat die geaccepteerd is aanpassen?
zie ik ook vaak genoeg bij wachtwoorden, die mogen niet gelijk zijn aan het vorige wachtwoord, maar daarbij wordt niet gekeken naar het wachtwoord daarvoor en de change interval. maw eerst het wachtwoord wijzigen en daarna weer terug veranderen naar je orginele wachtwoord

Free rider @-Jaap-io • 27 april 2007 15:15

Helaas, dat gaat niet - na iedere wijziging wordt de advertentie opnieuw gecontroleerd Wat je wel kan doen is de inhoud van de landingspagina veranderen - Google controleert de landingspagina na het invoeren van de advertentie, maar verder bijna nooit.

Een mogelijke verklaring kan zijn: De getoonde website is gehacked, en op de landingspagina is een forward gezet. En dit is gebeurt nadat de advertentie door Google is geaccepteerd.

Anoniem: 87819 @Free rider • 27 april 2007 18:04

Misschien maakt die een uitzondering voor verkeer dat van google afkomstig is, zodat het voor hen allemaal legitiem lijkt.

pat42 26 april 2007 22:39

Waarom zorgen ze er niet voor dat de groene tekst alleen naar het daadwerkelijke adres mag verwijzen. Dus als een link naar sales.dell.nl/advertentie gaat, er alleen maar dell.nl mag staan? Het lijkt me niet echt voordelen hebben om een ander adres op te geven als waarvoor geadverteerd wordt, behalve dus voor malware.

J.J.J. Bokma @pat42 • 27 april 2007 00:21

lengte

OddesE @J.J.J. Bokma • 27 april 2007 09:29

Hij bedoelt dat de link alleen het domein mag tonen waar ook daadwerkelijk naar verwezen wordt. Dus ald er wordt verwezen naar http://dell.nl/sales, dan mag er alleen een link staan die begint met dell.nl. Zou er worden verwezen naar support.microsoft.com/faq, dan alleen support.microsoft.nl.

Hetzelfde principe wordt gebruikt bij cookies, javascript, SSL etc.. Dus geen cross-site links.

webkiller71 27 april 2007 12:06

Als workaround raad ik adblockplus (http://adblockplus.org/) aan.

Anoniem: 58287 @webkiller71 • 27 april 2007 12:23

Dat mag niet he, van Tweakers.net. Die "vinden" dat ze mogen bepalen wat voor software jij op je pc hebt.

fevenhuis @Anoniem: 58287 • 27 april 2007 16:11

Nee hoor bij tweakers wordt iedereen gelijk gemodereerd.

Anoniem: 80466 @Anoniem: 58287 • 27 april 2007 15:46

?????

bartje 26 april 2007 22:45

als google ad-word sites direct zou controleren met een malewarescanner zou dit probleem verholpen zijn.
Dit zou misschien ook wel een goed idee zijn voor zoekresultaten.

J.J.J. Bokma @bartje • 27 april 2007 00:24

Google doet dat al: http://www.google.com/search?q=seriall.com

klik maar op de 1e link.

zie ook: http://johnbokma.com/fire.../google-unsafe-sites.html

Anoniem: 88453 26 april 2007 23:11

Ik gebruik op mijn website ook advertenties van Google.
Hierbij zie ik ook regelmatig dubieuze websites in de advertenties staan.
Met name websites voor "thuiswerkers" om makkelijk geld bij te verdienen, zonder daarvoor veel moeite te doen.

Gelukkig kun je die websites bannen, door ze op te geven bij het Filter voor concurrerende advertenties.

Nu nog een soort blacklist vinden voor dit soort sites, zodat ik deze in één keer aan het filter kan toevoegen.

To_Tall

@Anoniem: 88453 • 27 april 2007 09:21

Ik denk dat je een aardig lijstje hebt. zou zeggen begin met blacklisten.

Geef deze aan andre en van andrere natuurlijk een lijstje vragen..

Anoniem: 147011 26 april 2007 23:15

Dus je kan als je er wel op hebt gedrukt niet meet veilig internet bankieren??

darkfader @Anoniem: 147011 • 26 april 2007 23:46

Dan moet je eerst nagaan of je browser niet geinfecteerd is... En niet iedereen kan dat.

CHRING 26 april 2007 22:32

Mm, dit klinkt gevaarlijk. Ik zou zeggen dat google hier iets aan moet doen -> zodat de gebruiker dus kan zien waar hij naartoe gaat door ergens op te klikken.

ATS 26 april 2007 23:04

Een uitstekende reden om niet op AdWords te klikken lijkt me!

FasT 27 april 2007 14:33

Misschien dat de gemiddelde thuis gebruiker maar het beste kan telebankieren vanaf een live cd...

Op dit item kan niet meer gereageerd worden.

Criminelen maken misbruik van Google AdWords

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: