警惕谷歌搜索廣告的區塊鏈騙局_GOO

背景

最近幾周ScamSniffer陸續收到多個用戶被搜索廣告釣魚的案例，他們都無一不例外錯點了Google的搜索廣告從而進入到惡意網站，并在使用中過程簽署了惡意簽名，最終導致錢包里的資產丟失。

惡意廣告

通過搜索一些受害者使用的關鍵詞可以發現很多惡意廣告排在前面，大部分用戶可能對搜索廣告沒有概念就直接打開第一個了，然而這些都是假冒的惡意網站。

定向品牌

通過分析了部分關鍵詞，我們定位到了一些惡意的廣告和網站，如Zapper,Lido,Stargate,Defillama等。

區塊鏈DeFi實驗室安全提醒：警惕HSC鏈上假冒ETS項目方的信息:在2021年5月1日虎符智能鏈HSC主網上線后，區塊鏈DeFi實驗室檢測發現，有人假冒ETS項目方在HSC相關社群發布廣告，宣稱與Pudding官方合作，誘導大家購買代幣。據了解，Pudding官方已經辟謠，此事為子虛烏有。并提醒廣大用戶，避免上當受騙。[2021/5/5 21:26:38]

惡意網站

打開一個Zapper的惡意廣告，可以看到他試圖利用Permit簽名獲取我的$SUDO的授權。如果你安裝了ScamSniffer的插件，你會得到實時的風險提醒。

美國加州總檢察長提醒民眾警惕數字資產詐騙:美國加州總檢察長Xavier Becerra就涉及數字資產（如加密貨幣）的詐騙行為發出消費者警告。最近不法分子在社交媒體和YouTube頻道冒充知名政客、名人和企業高管，實施“贈品”騙局，例如虛假承諾將發送給特定數字資產錢包的任何數字資產翻倍。詐騙者試圖利用新技術來掠奪加州人來之不易的積蓄。

任何考慮投資或購買數字資產的人都應了解以下騙局：欺詐性貨幣發行、虛假交易所和錢包、龐氏騙局、金字塔計劃、挖礦騙局、數字資產作為替代支付形式。

為了避免成為數字資產詐騙的受害者，Becerra敦促投資者特別警惕這些危險信號:

1. 不切實際的利潤宣傳，如承諾一種加密貨幣的表現將優于股票市場或產生有保證的固定收益；

2. 含糊不清的匿名產品，如加密貨幣缺乏“白皮書”、真實的用途或可識別的管理團隊；

3. 聲稱來自值得信賴的政府官員、高管、名人或朋友和家人的特殊交易或贈品（在點擊任何鏈接之前請與他們交談）；

4. 獎勵招募其他投資者的計劃；

5. 迫使你立即投資的產品或交易；

6. 沒有確保客戶存款和兌現提款可靠記錄的交易所和錢包；

7. 任何看起來好得難以置信的主張或交易。[2020/8/8]

目前很多錢包對于這類簽名還沒有明確的風險提示，普通用戶很可能以為是普通的登陸簽名，順手就簽了。關于更多Permit的歷史可以看看這篇文章。

分析 | BTC市值占比持續下行 投資人需警惕近期市場風險:據TokenGazer數據分析顯示：截止至7月2日18點整，BTC價格為$10,282.43，市值為182,432.11M，主流交易所24H BTC交易量約為$2,932.22M，保持相對穩定；算力方面，BTC算力未能扭轉下降趨勢；活躍地址數方面，BTC活躍地址數有一定回升；市值占比方面，BTC市值占比繼續下行，目前約為60.28%；交易所方面，BTC/USD Coinbase對BTC/USD Bitfinex仍然處于負溢價狀態，午間BTC價格失守$10000，下探至$9800左右時，負溢價約為$140；期貨方面，此前Bitmex顯示BTC于早間價格高點下滑至$9800左右時，開單量一路上行，在BTC價格重新回升到$10000左右時，開單量有一定下滑，目前BTC多空單未平倉量都有一定回升，投資人需警惕近期市場風險。[2019/7/2]

惡意廣告主

動態 | 廣發銀行提醒消費者警惕以區塊鏈等為幌子”的“理財:據東北網3月16日報道， 廣發銀行哈爾濱分行高度重視金融消費者權益保護工作。提醒廣大金融消費者，識別金融詐騙、防范非法集資。要理性識別，在遇到“以投資虛擬貨幣、區塊鏈等為幌子”的“理財”、“保險”產品，務必提高警惕。[2019/3/16]

通過分析這些惡意廣告信息，我們發現這些惡意廣告來自這些廣告主的投放:

來自烏克蘭的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

來自加拿大的TRACYANNMCLEISH

繞過審核

通過分析這些惡意廣告，我們發現了一些有意思的用于繞過廣告審核的情況。

SOC官方提醒投資者：警惕銷售礦機的傳銷活動:SOC今日發表聲明稱，近期市場上有機構和個人打著SOC的名義進行礦機銷售的傳銷活動，他們以按級計酬方式拉人頭、承諾收益，引誘購買。SOC特此申明：

1. SOC基金會及團隊沒有銷售礦機，目前也沒有礦機可以挖SOC；

2. SOC基金會及其團隊不會采用分級計酬、拉人頭、承諾收益等傳銷方式進行宣傳；

3. 市場假借SOC名義進行傳銷的非法行為和SOC基金會（及團隊）無任何關系，獲取SOC相關信息以SOC官方推特為準。[2018/5/26]

參數區分

比如同樣的域名：

gclid參數訪問就展示惡意網站

不帶就是賣AV接收器的正常頁面

gclid是Google廣告用于追蹤點擊的參數，如果你點擊Google的搜索廣告結果，鏈接會追加上gclid。基于此就可以區分不同用戶來源展示不一樣的頁面。而谷歌在投放前審核階段看到的可能是正常的網頁，這樣一來就繞過了谷歌的廣告審核。

防止調試

同樣有些惡意廣告還存在反調試：

開發者工具:禁用緩存開啟→跳轉到正常網站

直接打開→跳轉到惡意網站

對比分析我們發現他們是通過請求頭cache-control的差異來跳轉到不一樣的連接，在開發者工具開啟DisableCache后會導致請求頭有細微差異。除了開發者工具外，一些爬蟲可能也會開啟這個頭保證抓取到最新的內容，這樣一來就又是一種可以繞過一些Google的廣告機器審核的策略。

這些繞過的技巧也解釋了我們的看到的現象，這些鋪天蓋地的惡意廣告是通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被用戶看到，從而造成了嚴重的損失。

那么對于GoogleAds有什么改進辦法？

接入Web3Focus的惡意網站檢測引擎。

持續監控投放前和投放后整個生命周期中的落地頁情況，及時發現中間動態切換或通過參數跳轉欺騙這種情況的發生。

被盜預估

為了分析潛在的規模，我們從ScamSniffer的數據庫里找到了一些和這些惡意廣告網站關聯的鏈上地址。通過這些地址分析鏈上數據發現，一共大約$4.16m被盜，3k個受害者。大部分被盜發生在近期一個月左右。

數據詳情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

資金流向

通過分析幾個比較大的資金歸集地址，有些存進了SimpleSwap,Tornado.Cash。有些直接進了KuCoin,Binance等。

幾個較大的資金歸集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

廣告投入估算

根據一些廣告分析平臺，我們能了解到這些關鍵詞的單次點擊均價在1-2左右。

鏈上受害者地址數量大約在3000，如果所有受害者都是通過搜索廣告點擊進來的，按40%的轉化率來算，那么點進來的用戶數大約在7500。

基于此我們根據CPC大致可以估算出廣告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

總結

通過分析我們可以發現大部分的釣魚廣告的投放成本極低。而之所以我們能看到這些惡意廣告很大程度是因為這些廣告通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被消費者看到，繼而對用戶造成了嚴重的損害。

希望各位用戶在使用搜索引擎的時候多加防范，主動屏蔽廣告區域的內容。同時也希望Google廣告加強對Web3惡意廣告的審查，保護用戶！

Tags：BTCSOCGOOGLEMOBTC價格DFSOCIAL幣MONGOOSE幣Single Dog Swap Token

FIL幣