假冒 Google Ads 官方廣告釣魚攻擊引關注,廣告主該如何自保?

近期,有資安研究人員揭露一場針對 Google Ads 廣告主的大規模釣魚攻擊。 攻擊者假扮成 Google Ads 的官方廣告,誘使用戶點擊並登入假網站,最終竊取廣告帳戶控制權,進一步擅用預算投放更多惡意廣告,此事引起全球廣告主的關注。

攻擊者如何假冒 Google Ads?

根據資安報告,這些假冒廣告在 Google 搜尋結果的贊助連結位置出現,吸引用戶誤以為是 Google Ads 官方連結並點擊進入。

-假網站設計:利用與 Google 官方網站類似的域名與視覺風格,在假登入頁面中竊取使用者的帳戶憑證。

-繞過檢查:部分假網站甚至託管於 Google Sites,藉以通過廣告稽核機制。

-後續控制:一旦受害者輸入帳戶資訊,攻擊者即可更改帳戶設定,或添加自己的電郵為管理員,直接掌控廣告預算。

報告指出,至少有三個來自不同地區(巴西、亞洲及東歐)的犯罪團體參與此行動。他們精通各種技術,包括 瀏覽器指紋辨識 與 流量過濾,以在不驚動廣泛用戶的情況下篩選目標並收集更多資訊。

從小型個人廣告帳戶到大型企業都可能中招,臺灣也有知名電子公司成為攻擊目標之一。被盜帳戶一般已有合法廣告在運作,攻擊者則用現成的預算投放更多惡意廣告,擴大危害範圍。

Google 的應對措施備受質疑

雖然不少受害者和研究人員向 Google 舉報了這些釣魚廣告,但有些惡意廣告仍能順利存活於搜尋結果中。

部分惡意廣告主反覆出現,表示 Google 在帳戶管理和廣告檢查上還有強化空間。品牌若無法確保自己的預算和廣告帳戶安全,可能影響對平台的信心。

廣告主如何自保?

1.避免直接點擊搜尋結果中的「Google Ads」連結

若要登入或操作廣告帳戶,最好在瀏覽器中手動輸入 Google Ads 官方網址,或使用官方應用程式登錄,減少誤點假網站的機率。

2.啟用雙因素驗證

啟用雙因素驗證(2FA),可有效降低攻擊者只透過密碼就能竊取帳戶的風險。如果有人試圖登入帳戶,你會第一時間收到警示。

3.定期檢視帳戶管理權限

在 Google Ads 帳戶設定中,定期查看有哪些管理員帳號存在。若發現可疑的電郵地址或陌生人加入,應立即移除並更改密碼。

4.留意瀏覽器安全提示

現代瀏覽器通常會對可疑的網站提出警告,例如憑證不安全、域名不符或非 HTTPS 網址等。看到警示就要提高警覺,以免落入詐騙陷阱。

總結

對於廣告主而言,保護廣告帳戶資金與資料安全至關重要。除了提高警覺、強化帳戶管理與驗證之外,也應不斷追蹤平台最新的安全機制與情報,共同維護一個更健康安全的廣告環境。

閱讀更多:  ChatGPT 搜尋功能登場!Google 的地位將受挑戰?