比特币:警惕谷歌搜索廣告的區塊鏈騙局_Brickchain FInance

背景

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例，他们都无一不例外错点了Google的搜索广告从而进入到恶意网站，并在使用中过程签署了恶意签名，最终导致钱包里的资产丢失。

恶意广告

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面，大部分用户可能对搜索广告没有概念就直接打开第一个了，然而这些都是假冒的恶意网站。

定向品牌

通过分析了部分关键词，我们定位到了一些恶意的广告和网站，如Zapper,Lido,Stargate,Defillama等。

安全提醒：警惕Filecoin RBF假充值攻击:据慢雾区消息，Filecoin出现“双花交易”，多家交易所关闭FIL充值通道。慢雾安全团队对相关信息分析发现，这是一起Filecoin的RBF假充值攻击事件而非”双花攻击“。攻击者预先发送一笔低gas-feecap的交易，然后通过提高gas-premium和gas-feecap替换原交易（RBF交易），此时RBF交易优先被打包上链，旧交易被丢弃，但是由于FilecoinlotusRPC有一个特性，在查询旧交易的执行状态时（使用lotusstateexec-trace命令或者通过REST接口Filecoin.StateGetReceipt获取）返回的是RBF交易的执行状态，导致交易所对两笔交易重复入账。

慢雾安全团队提醒交易所及相关钱包方，在充值入账时，需要对比查询返回结果中的cid与查询的cid是否一致，并配合ChainGetParentMessages和ChainGetParentReceipts等接口进行查询对比，避免重复入账。与此前慢雾区发现的假充值攻击不同的是，此次攻击方法更加隐蔽，是由于Filecoin节点特性所引起，交易所及相关钱包方应再次检查充值入账程序，除了RBF外，还有常规的To、Value、转账类型Method，以及执行结果ExitCode等字段的校验，必要时可请安全审计公司协助检测。[2021/3/19 19:00:10]

声音 | 慢雾：警惕“假充值”攻击:慢雾分析预警，如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷，可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS，而且这些 EOS 可以进行正常交易。

慢雾安全团队已经确认真实攻击发生，但需要注意的是：EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似，更多责任应该属于平台方。由于这是一种新型攻击手法，且攻击已经在发生，相关平台方如果对自己的充值校验没有十足把握，应尽快暂停 EOS 充提，并对账自查。[2019/3/12]

恶意网站

打开一个Zapper的恶意广告，可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件，你会得到实时的风险提醒。

突发 | EOS 安全问题紧急情报通知：警惕 EOS 恶意合约吞噬用户 RAM:据IMEOS消息，慢雾安全团队收到慢雾区伙伴美图区块链实验室技术情报：恶意 EOS 合约存在吞噬用户 RAM 的安全风险。

慢雾安全团队预警这类风险带来的攻击风险可能会很大，需要各大交易所、钱包、代币空投方、 DApp、用户等的警惕，避免遭受损失。

慢雾安全团队与美图区块链实验室决定走这类风险的负责任披露过程，细节暂不直接公开。[2018/7/24]

目前很多钱包对于这类签名还没有明确的风险提示，普通用户很可能以为是普通的登陆签名，顺手就签了。关于更多Permit的历史可以看看这篇文章。

恶意广告主

通过分析这些恶意广告信息，我们发现这些恶意广告来自这些广告主的投放:

警惕EOS空投、糖果术:近期，EOS主网即将上线，大批糖果向EOS关注者袭来，其中难免夹杂着各种术。“360风云区块链态势感知系统”基于360安全大脑强大的数据积累与智能分析能力，近期监测发现EOS钓鱼网站数量激增，非法地址开始活跃。360安全团队特别提醒用户警惕EOS空投和糖果术，1、不要贪图小便宜，不要在任何网站提交私钥和助记词等敏感信息；2、对于转账这种高风险操作应谨慎，以免上当受。[2018/5/28]

来自乌克兰的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

来自加拿大的TRACYANNMCLEISH

绕过审核

通过分析这些恶意广告，我们发现了一些有意思的用于绕过广告审核的情况。

参数区分

提醒警惕新型非法集资 提及虚拟货币:云南省厅介绍，非法集资发案波及领域广、社会危害性大、参与人员损失惨重，目前投融资类中介机构、互联网金融平台、房地产、农业等行业内的非法集资案件高发，借贷理财、私募股权、虚拟货币、消费返利等新型领域逐步成为非法集资重灾区。[2018/5/16]

比如同样的域名：

gclid参数访问就展示恶意网站

不带就是卖AV接收器的正常页面

gclid是Google广告用于追踪点击的参数，如果你点击Google的搜索广告结果，链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页，这样一来就绕过了谷歌的广告审核。

防止调试

同样有些恶意广告还存在反调试：

开发者工具:禁用缓存开启→跳转到正常网站

直接打开→跳转到恶意网站

对比分析我们发现他们是通过请求头cache-control的差异来跳转到不一样的连接，在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外，一些爬虫可能也会开启这个头保证抓取到最新的内容，这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象，这些铺天盖地的恶意广告是通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被用户看到，从而造成了严重的损失。

那么对于GoogleAds有什么改进办法？

接入Web3Focus的恶意网站检测引擎。

持续监控投放前和投放后整个生命周期中的落地页情况，及时发现中间动态切换或通过参数跳转这种情况的发生。

被盗预估

为了分析潜在的规模，我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现，一共大约$4.16m被盗，3k个受害者。大部分被盗发生在近期一个月左右。

数据详情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

资金流向

通过分析几个比较大的资金归集地址，有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。

几个较大的资金归集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

广告投入估算

根据一些广告分析平台，我们能了解到这些关键词的单次点击均价在1-2左右。

链上受害者地址数量大约在3000，如果所有受害者都是通过搜索广告点击进来的，按40%的转化率来算，那么点进来的用户数大约在7500。

基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

总结

通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被消费者看到，继而对用户造成了严重的损害。

希望各位用户在使用搜索引擎的时候多加防范，主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查，保护用户！

标签：比特币COIFILECHA比特币局为什么不抓coincheck交易平台未成年可以注册吗filecoin币价格今日行情实实走势Brickchain FInance

FTT热门资讯