區塊鏈:警惕谷歌搜索廣告的區塊鏈騙局_GLEEC

背景

最近幾周ScamSniffer陸續收到多個用戶被搜索廣告釣魚的案例，他們都無一不例外錯點了Google的搜索廣告從而進入到惡意網站，并在使用中過程簽署了惡意簽名，最終導致錢包里的資產丟失。

惡意廣告

通過搜索一些受害者使用的關鍵詞可以發現很多惡意廣告排在前面，大部分用戶可能對搜索廣告沒有概念就直接打開第一個了，然而這些都是假冒的惡意網站。

定向品牌

通過分析了部分關鍵詞，我們定位到了一些惡意的廣告和網站，如Zapper,Lido,Stargate,Defillama等。

區塊鏈防火墻提醒：警惕詐騙團伙惡意利用未經證實的虛假信息實行詐騙:近日，區塊鏈防火墻安全團隊發現有某不法團伙在社區傳播“某平臺將停止業務運營”、“某平臺即將清退用戶”等未經證實的虛假信息，通過惡意制造社區恐慌，將用戶引導至騙子搭建的虛假交易平臺實施詐騙，截至目前，已經有不少投資者上當受騙。

區塊鏈防火墻提醒：注意提高自我防范意識，不信謠不傳謠，謹防利用虛假消息實施詐騙的新型騙局，保護好個人資產安全，不要向任何未經身份核驗的地址或平臺客服進行轉賬。[2021/7/9 0:40:29]

惡意網站

媒體：需警惕谷歌等瀏覽器搜索頁面的虛假加密網站:隨著數字資產經濟的日益普及和許多加密公司的知名度提高，仿冒的騙子數量也越來越多。有許多假冒網站是克隆提供挖礦設備銷售、錢包、全節點、紙錢包工具和交易平臺的公司官方網頁。在很多情況下，谷歌、必應和其他流行的瀏覽器允許模仿者的欺騙網站出現在結果頁面頂部，有些騙局甚至得到了推廣。

（Bitcoin.com）[2020/12/13 15:04:15]

打開一個Zapper的惡意廣告，可以看到他試圖利用Permit簽名獲取我的$SUDO的授權。如果你安裝了ScamSniffer的插件，你會得到實時的風險提醒。

目前很多錢包對于這類簽名還沒有明確的風險提示，普通用戶很可能以為是普通的登陸簽名，順手就簽了。關于更多Permit的歷史可以看看這篇文章。

惡意廣告主

火幣：警惕假幣騙局，務必認準 TRC20-HT 官方合約地址:據官方消息，火幣全球站已于9月18日在波場TRON網絡中發行 TRC20-HT跨鏈資產（非增發式發行，此部分TRC20-HT將錨定等量ERC20資產，HT總量保持不變）。

同時有用戶反饋，波場網絡近期出現了一批假的HT合約地址和HT代幣。為謹防用戶上當受騙，火幣提示用戶，切勿輕易相信陌生人提供的代幣地址，不要交易任何非官方合約地址的代幣，請務必認準TRC20-HT官方合約地址：TDyvndWuvX5xTBwHPYJi7J3Yq8pq8yh62h

對偽造HT合約代幣用于詐騙的行為，火幣保留追究相關責任人法律責任的權利。其中部分假HT合約地址如下：[2020/9/23]

通過分析這些惡意廣告信息，我們發現這些惡意廣告來自這些廣告主的投放:

來自烏克蘭的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

聲音 | FBI：警惕犯罪分子通過SIM卡調換盜取數字資產:據美國聯邦調查局官網消息，美國聯邦調查局（FBI）舊金山分部今日發布新聞稿稱，近期犯罪分子利用用戶SIM卡信息盜取其數字貨幣的情況有所增加。FBI和當地的執法合作伙伴將調查SIM卡調換背后的罪魁禍首并將這些罪犯繩之以法。FBI提醒用戶注意保護個人信息，不要在每個帳戶中重復使用相同的密碼，應使用雙重身份驗證或物理安全密鑰。避免在線發布個人數據，避免在電子郵件帳戶中留下重要文件或信息（例如數字貨幣私鑰、帶有社會安全碼的文件或駕照的照片副本）。[2019/3/7]

來自加拿大的TRACYANNMCLEISH

繞過審核

通過分析這些惡意廣告，我們發現了一些有意思的用于繞過廣告審核的情況。

參數區分

證券時報：警惕區塊鏈技術被人帶偏跑道:據《證券時報》消息，區塊鏈本身是一個好東西，比如區塊鏈的最大特點就是可追溯，節點上的每一個人不僅可以看到其他節點和所有區塊甚至整個區塊鏈的最新記錄信息，而且能夠查閱到任何一筆歷史記錄。同時，區塊鏈具有“去中心化”特征，即沒有第三方平臺，每一筆交易都是點對點的直接撮合而成，但由于區塊鏈上都是自動記錄信息，且數據一旦記錄下來就無法單獨竄改，故參與者并不擔心自己會上當受騙。可惜的是，區塊鏈這一極好的技術之器卻被很多人帶偏了跑道，目前全球真正懂得區塊鏈專業技術的不足2000人，由此也不難看出，那些ICO平臺其實是打著區塊鏈的幌子，行坐地生財之實。[2018/3/13]

比如同樣的域名：

gclid參數訪問就展示惡意網站

不帶就是賣AV接收器的正常頁面

gclid是Google廣告用于追蹤點擊的參數，如果你點擊Google的搜索廣告結果，鏈接會追加上gclid。基于此就可以區分不同用戶來源展示不一樣的頁面。而谷歌在投放前審核階段看到的可能是正常的網頁，這樣一來就繞過了谷歌的廣告審核。

防止調試

同樣有些惡意廣告還存在反調試：

開發者工具:禁用緩存開啟→跳轉到正常網站

直接打開→跳轉到惡意網站

對比分析我們發現他們是通過請求頭cache-control的差異來跳轉到不一樣的連接，在開發者工具開啟DisableCache后會導致請求頭有細微差異。除了開發者工具外，一些爬蟲可能也會開啟這個頭保證抓取到最新的內容，這樣一來就又是一種可以繞過一些Google的廣告機器審核的策略。

這些繞過的技巧也解釋了我們的看到的現象，這些鋪天蓋地的惡意廣告是通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被用戶看到，從而造成了嚴重的損失。

那么對于GoogleAds有什么改進辦法？

接入Web3Focus的惡意網站檢測引擎。

持續監控投放前和投放后整個生命周期中的落地頁情況，及時發現中間動態切換或通過參數跳轉欺騙這種情況的發生。

被盜預估

為了分析潛在的規模，我們從ScamSniffer的數據庫里找到了一些和這些惡意廣告網站關聯的鏈上地址。通過這些地址分析鏈上數據發現，一共大約$4.16m被盜，3k個受害者。大部分被盜發生在近期一個月左右。

數據詳情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

資金流向

通過分析幾個比較大的資金歸集地址，有些存進了SimpleSwap,Tornado.Cash。有些直接進了KuCoin,Binance等。

幾個較大的資金歸集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

廣告投入估算

根據一些廣告分析平臺，我們能了解到這些關鍵詞的單次點擊均價在1-2左右。

鏈上受害者地址數量大約在3000，如果所有受害者都是通過搜索廣告點擊進來的，按40%的轉化率來算，那么點進來的用戶數大約在7500。

基于此我們根據CPC大致可以估算出廣告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

總結

通過分析我們可以發現大部分的釣魚廣告的投放成本極低。而之所以我們能看到這些惡意廣告很大程度是因為這些廣告通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被消費者看到，繼而對用戶造成了嚴重的損害。

希望各位用戶在使用搜索引擎的時候多加防范，主動屏蔽廣告區域的內容。同時也希望Google廣告加強對Web3惡意廣告的審查，保護用戶！

Tags：區塊鏈GOOGLERC20哪個不是區塊鏈特性GOONGGLEECbrc20sats幣

ADA