Ciberdelincuentes están utilizando Google Ads para ejecutar campañas de phishing dirigidas a anunciantes. A través de anuncios patrocinados en la búsqueda de Google, los atacantes redirigen a las víctimas a páginas falsas creadas en Google Sites que imitan a la perfección la página oficial de inicio de sesión de Google Ads. Estas páginas fraudulentas solicitan credenciales de acceso, lo que permite a los hackers tomar el control de las cuentas y realizar actividades ilícitas.
El uso de Google Sites como plataforma facilita el engaño, ya que las URL presentan similitudes con las de los sitios legítimos, haciendo más difícil detectar la suplantación.
Según Jérôme Segura, director sénior de investigación de Malwarebytes, la razón por la cual los atacantes pueden eludir las medidas de seguridad de Google se debe a que los anuncios no infringen estrictamente las reglas de la plataforma. Google permite que los anuncios con URL de Google Sites aparezcan, ya que este dominio pertenece al ecosistema de Google. Esto hace que los ciberdelincuentes puedan burlar las restricciones y mostrar anuncios falsos que parecen legítimos. “No se puede mostrar una URL en un anuncio a menos que la página de destino coincida con el mismo nombre de dominio. Si bien esto es una regla diseñada para proteger contra el abuso y la suplantación de identidad, es muy fácil de eludir», explica Segura. «La URL en cuestión no infringe la regla, ya que sites.google.com utiliza los mismos dominios raíz que ads.google.com”.
El ataque sigue una secuencia meticulosa que se lleva a cabo en varias etapas. En primer lugar, la víctima ingresa sus credenciales de Google en la página falsa. El kit de phishing que se encuentra en esa página recopila información clave, como identificadores únicos, cookies y credenciales. Luego, la víctima podría recibir un correo electrónico que indica un inicio de sesión desde una ubicación inusual, como Brasil, lo que genera desconfianza y preocupación. Si la víctima no actúa con rapidez, los atacantes pueden agregar un nuevo administrador a la cuenta de Google Ads utilizando una dirección de correo electrónico distinta. Este paso les da control completo sobre la cuenta y les permite realizar gastos fraudulentos en campañas publicitarias. Los atacantes, además, pueden excluir a las víctimas de sus cuentas, de modo que no detecten la intrusión y el abuso de su cuenta.
Estos ataques están siendo llevados a cabo por al menos tres grupos de ciberdelincuentes, que operan desde diferentes partes del mundo. Se sabe que algunos de estos grupos están localizados en Brasil, y otros parecen ser originarios de Asia, utilizando cuentas de anunciantes de Hong Kong o China. También se ha identificado una tercera banda que probablemente opera desde Europa del Este. Lo que buscan estos delincuentes es robar las cuentas de Google Ads, para luego venderlas en foros de piratería o utilizarlas para realizar futuros ataques. Malwarebytes Labs, que ha estado monitoreando esta campaña de phishing en curso, ha alertado que el objetivo final de los atacantes es usar las cuentas robadas para seguir llevando a cabo fraudes publicitarios y difundir malware.
El ataque es alarmante debido a su escala y sofisticación, y podría estar afectando a miles de anunciantes en todo el mundo. Según Malwarebytes, esta operación de publicidad maliciosa es una de las más graves que se han detectado, ya que no solo ataca a Google, sino también a los clientes de la plataforma. Los ataques continúan ocurriendo de forma regular, con nuevos incidentes identificados incluso en el momento de la publicación del informe. La plataforma de Google Ads, que maneja miles de millones de dólares en publicidad cada año, se ha convertido en un objetivo lucrativo para los ciberdelincuentes, quienes utilizan estas cuentas robadas para financiar otros tipos de fraudes.
Uno de los puntos más críticos de este ataque es que las víctimas a menudo no son conscientes de que han sido engañadas. Las empresas que invierten en campañas publicitarias en Google Ads son especialmente vulnerables, ya que muchas de ellas no utilizan bloqueadores de anuncios, lo que les permite ver sus propios anuncios y los de sus competidores. Este hecho, irónicamente, las hace aún más susceptibles a caer en estos esquemas de phishing, ya que los atacantes pueden aprovecharse de la visibilidad de los anuncios para llevar a cabo el fraude.
A pesar de los esfuerzos de Google para detener estos ataques, el problema persiste. En 2023, Google bloqueó o eliminó más de 206,5 millones de anuncios por violar su política de tergiversación. Además, la compañía eliminó más de 3.400 millones de anuncios fraudulentos, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes que incumplían las políticas. A pesar de estas medidas, los atacantes siguen encontrando nuevas formas de eludir los sistemas de seguridad de la plataforma, lo que ha llevado a Google a seguir investigando y tomando medidas para solucionar el problema.
A medida que los ciberdelincuentes continúan perfeccionando sus técnicas de phishing y suplantación de identidad, se hace evidente que la lucha contra este tipo de fraudes es cada vez más compleja. Las empresas y usuarios de Google Ads deben estar más atentos que nunca y ser conscientes de los riesgos asociados con estos ataques. La protección contra el phishing y otros tipos de fraudes publicitarios es esencial, y es probable que Google continúe fortaleciendo sus defensas en el futuro para proteger tanto a los anunciantes como a los usuarios de su plataforma.