警惕谷歌搜索廣告的區塊鏈騙局_區塊鏈

背景

最近幾周ScamSniffer陸續收到多個用戶被搜索廣告釣魚的案例，他們都無一不例外錯點了Google的搜索廣告從而進入到惡意網站，并在使用中過程簽署了惡意簽名，最終導致錢包里的資產丟失。

惡意廣告

通過搜索一些受害者使用的關鍵詞可以發現很多惡意廣告排在前面，大部分用戶可能對搜索廣告沒有概念就直接打開第一個了，然而這些都是假冒的惡意網站。

定向品牌

通過分析了部分關鍵詞，我們定位到了一些惡意的廣告和網站，如Zapper,Lido,Stargate,Defillama等。

河南省地方金融監管局發布風險提示 警惕“虛擬貨幣”非法活動:金色財經報道，2月5日，河南省地方金融監督管理局發布風險提示，提醒公眾進一步防范“虛擬貨幣”非法活動。文件顯示，近期，伴隨著區塊鏈技術宣傳推廣，比特幣、以太坊等虛擬貨幣價格不斷攀升，虛擬貨幣交易活動有所抬頭。一些不法分子打著“虛擬貨幣”“區塊鏈”的旗號，通過數字貨幣抵押推出零息借貸、雙幣理財等項目；以“投資返利”“保本保收益”的名義，誘騙投資者購買“xx幣”“xx豆”等形式的虛擬貨幣，借機吸收資金；為注冊在境外的虛擬貨幣項目提供宣傳、引流，引誘投資者參與等，違反了中國人民銀行等七部委發布的《關于防范代幣發行融資風險的公告》，涉嫌從事非法集資、傳銷、網絡賭博、詐騙等違法犯罪活動，嚴重擾亂了經濟金融秩序。

河南省互聯網金融風險專項整治工作領導小組辦公室提醒：任何組織和個人不得非法從事代幣發行融資活動；任何所謂的代幣融資交易平臺不得從事法定貨幣與代幣、“虛擬貨幣”相互之間的兌換業務，不得買賣或作為中央對手方買賣代幣或“虛擬貨幣”，不得為代幣或“虛擬貨幣”提供定價、信息中介等服務；各金融機構和非銀行支付機構不得開展與代幣發行融資交易相關的業務。[2021/2/8 19:11:03]

央行官微轉發3.15系列文章 提醒公眾警惕虛擬貨幣陷阱:3月22日，中國人民銀行官微轉發3.15金融消費權益保護系列文章第8篇，提醒公眾警惕陷入虛擬貨幣陷阱。此外，文章還提到，避免陷入虛擬貨幣陷阱需牢記4點：提高防范意識，切勿盲目跟風，慧眼甄別亂象，第一時間舉報。[2020/3/22]

惡意網站

打開一個Zapper的惡意廣告，可以看到他試圖利用Permit簽名獲取我的$SUDO的授權。如果你安裝了ScamSniffer的插件，你會得到實時的風險提醒。

目前很多錢包對于這類簽名還沒有明確的風險提示，普通用戶很可能以為是普通的登陸簽名，順手就簽了。關于更多Permit的歷史可以看看這篇文章。

動態 | 警惕“浣熊”惡意軟件利用大量瀏覽器盜取數據和加密貨幣:安全人員發現，名為“浣熊（Raccoon）”的惡意軟件可利用大量瀏覽器來竊取用戶的數據和加密貨幣。使用該軟件的成本不低，但由于其可以針對至少60個應用程序（其中許多是我們如今使用的瀏覽器），因而受到網絡罪犯的歡迎。該軟件最早是網絡安全公司Cybereason的研究人員在2019年發現的。根據安全公司Cyberark的說法，浣熊一般是通過網絡釣魚活動和利用工具包來傳播的。發送給潛在受害者的欺詐性電子郵件包含帶有惡意宏的Microsoft Office文檔附件，而這些攻擊包通常托管在網站上。（Zdnet）[2020/2/26]

惡意廣告主

通過分析這些惡意廣告信息，我們發現這些惡意廣告來自這些廣告主的投放:

動態 | 降維安全：警惕偽裝的虧損補償釣魚詐騙:據降維安全實驗室（johnwick.io）報道，有用戶反饋稱國內論壇及電報群出現新型釣魚詐騙。詐騙者偽裝成gate交易平臺工作人員在論壇及電報群頻繁刷屏，聲稱提供CNNS虧損補償，以此誘導用戶將賬戶內的CNNS數字資產轉入騙子地址。降維安全實驗室在此建議用戶保持警惕，謹防上當受騙，以免造成不必要的資產損失。[2019/4/28]

來自烏克蘭的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

來自加拿大的TRACYANNMCLEISH

繞過審核

通過分析這些惡意廣告，我們發現了一些有意思的用于繞過廣告審核的情況。

參數區分

現場 | 信通院張啟：要從共識層、合約層以及區塊鏈應用等方面提高警惕:金色財經現場報道，今日，2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上，中國信息通信研究院高級研究員、可信區塊鏈推進計劃辦公室副主任張啟介紹了可信區塊鏈安全項目組的進展，在他看來，2018年以來，區塊鏈應用生態安全事件頻發，安全標準缺失，危害程度日益增大，其中智能合約成為安全風險“重災區”。在此背景下，需要重視從共識層、合約層以及區塊鏈應用等方面提高警惕，并且在區塊鏈基礎組建、共識機制、智能合約、應用服務等方面優化應對方案。[2018/10/10]

比如同樣的域名：

gclid參數訪問就展示惡意網站

不帶就是賣AV接收器的正常頁面

gclid是Google廣告用于追蹤點擊的參數，如果你點擊Google的搜索廣告結果，鏈接會追加上gclid。基于此就可以區分不同用戶來源展示不一樣的頁面。而谷歌在投放前審核階段看到的可能是正常的網頁，這樣一來就繞過了谷歌的廣告審核。

防止調試

同樣有些惡意廣告還存在反調試：

開發者工具:禁用緩存開啟→跳轉到正常網站

直接打開→跳轉到惡意網站

對比分析我們發現他們是通過請求頭cache-control的差異來跳轉到不一樣的連接，在開發者工具開啟DisableCache后會導致請求頭有細微差異。除了開發者工具外，一些爬蟲可能也會開啟這個頭保證抓取到最新的內容，這樣一來就又是一種可以繞過一些Google的廣告機器審核的策略。

這些繞過的技巧也解釋了我們的看到的現象，這些鋪天蓋地的惡意廣告是通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被用戶看到，從而造成了嚴重的損失。

那么對于GoogleAds有什么改進辦法？

接入Web3Focus的惡意網站檢測引擎。

持續監控投放前和投放后整個生命周期中的落地頁情況，及時發現中間動態切換或通過參數跳轉欺騙這種情況的發生。

被盜預估

為了分析潛在的規模，我們從ScamSniffer的數據庫里找到了一些和這些惡意廣告網站關聯的鏈上地址。通過這些地址分析鏈上數據發現，一共大約$4.16m被盜，3k個受害者。大部分被盜發生在近期一個月左右。

數據詳情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

資金流向

通過分析幾個比較大的資金歸集地址，有些存進了SimpleSwap,Tornado.Cash。有些直接進了KuCoin,Binance等。

幾個較大的資金歸集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

廣告投入估算

根據一些廣告分析平臺，我們能了解到這些關鍵詞的單次點擊均價在1-2左右。

鏈上受害者地址數量大約在3000，如果所有受害者都是通過搜索廣告點擊進來的，按40%的轉化率來算，那么點進來的用戶數大約在7500。

基于此我們根據CPC大致可以估算出廣告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

總結

通過分析我們可以發現大部分的釣魚廣告的投放成本極低。而之所以我們能看到這些惡意廣告很大程度是因為這些廣告通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被消費者看到，繼而對用戶造成了嚴重的損害。

希望各位用戶在使用搜索引擎的時候多加防范，主動屏蔽廣告區域的內容。同時也希望Google廣告加強對Web3惡意廣告的審查，保護用戶！

Tags：區塊鏈GOOGLENIFF國內區塊鏈公司前十排名GOON幣Eagle King CoinNiffler Coin

以太坊交易