A Google nevében elkövetett kampányra a Malwarebytes szakemberei figyeltek fel, és a részletek fényében válik egyre szürreálisabbá a történet. Mint a Bleeping Computer cikke kiemeli: az elmúlt években az már nem számít szokatlannak, hogy a rosszindulatú felek hamis, valamilyen szoftvert imitáló hirdetést helyeznek el a Google keresései között, így tőrbe csalva a felhasználókat.

Ez – csak a példa kedvéért – lehet például egy Google Chrome telepítő, ami akkor jelenik meg, amikor a felhasználó rákeres a böngészőre. Mivel kiemelt helyen van, és látszólag hiteles, sokan gyanútlanul kattinthatnak rá, letöltve egy fertőzött telepítőt. Az is megesik, hogy a szoftver hellyel-közzel működik is, tehát hasonlít a böngészőre, de a háttérben egy kártevő is települ a számítógépre/okostelefonra, ami akár az összes adatot ellophatja az eszközről.

A legújabb, és talán legabszurdabb kampányban a Google Hitelesítő nevével éltek vissza a rosszindulatú felek, nem is akárhogy. Ez az a program, ami a biztonságos kétlépcsős hitelesítéshez generál kódokat, és használható a Google-szolgáltatások mellett ezernyi más platformhoz (Facebook, Instagram, más e-mail szolgáltatók stb.) is.

A támadók olyan hirdetéseket készítettek, melyek akkor jelentek meg a találatok között kiemeltként, ha valaki rákeresett a Google Hitelesítőre. Méghozzá 99,9%-ban hitelesen, még a google.com hivatkozás is megjelent, ami a techóriás hivatalos oldalának a linkje. Hova tovább, azt a jelölést is simán megadta a rosszindulatú feleknek a Google, hogy az adott hirdetés egy hivatalos weboldalt takar.

Ha valaki megnézte, ki adta fel a hirdetést, már rájöhetett, hogy valami nem stimmel, mert a hirdető személye egy bizonyos „Larry Marr” volt a vizsgált esetben, aki határozottan nem a Google. A hirdető személyazonosságát ugyanakkor a (valódi) Google hitelesítette, tehát a létező összes szűrőn át tudott csúszni probléma nélkül.

Hamis Google Authenticator hirdetés

Malwarebytes

Értelemszerűen, a felhasználók közül senki sem fogja kielemezni a Google találatai között megjelenő hirdetéseket, ha az minden pontján hitelesnek látszik. A Bleeping Computer megkereste az ügyben a keresőóriást, ahonnan azt a választ kapták, hogy a Malwarebytes jelentése nyomán már blokkolták a hirdető fiókját.

Azt is megkérdezte a portál, hogyan történhetnek ilyen incidensek – erre az a válasz érkezett, hogy a rosszindulatú felek egyszerre ezres nagyságrendben hoznak létre fiókokat, és szövegmanipulációval, valamint hasonló eszközökkel játsszák ki az észlelést.

Ha valaki rákattintott a fentebb taglalt hirdetésre, egy olyan oldalon találta magát, ahol letölthette a Hitelesítő telepítőjét egy .exe fájl formájában. Ezt installálva a felhasználó lényegében a DeerStealer nevű kártevőt kapta meg a számítógépére, mely aztán ellophatta a bejelentkezési adatait, sütijeit, és szinte mindent, amit a böngészőjében tárol.

A Google állítja: mindent megtesz azért, hogy a jövőben kiszűrje az ehhez hasonló csalókat. Addig is, érdemes fenntartásokkal kezelni mindenféle hirdetést, és csak a hivatalos forrásból, közvetlenül beszerezni az alkalmazásokat.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.