Google 搜尋第一條連結不要馬上點!專家指「惡意廣告」已成駭客目標

 

 

 

惡意廣告幫助駭客竊取個人資料

網路安全軟體公司 Malw​​arebytes 資深研究總監 Jérôme Segura 表示,近期美國的「惡意廣告」事件增加了 42%,駭客偽造了幾乎所有類型的品牌相關網站,並透過 Google 搜尋的贊助商廣告功能,植入惡意連結以進行網路釣魚。

這些被駭客惡意投放的贊助商廣告,不只是會出現在搜尋結果的最上方,還有可能透過廣告聯播網,擴散到其他經常民眾被造訪的主流網站。

Jérôme Segura 進一步指出,企業員工近來也成為惡意廣告的攻擊目標,例如資安專家最近就發現,有駭客刻意偽裝成 Salesforce 公司,在網路上投放協作軟體 Slack 的假廣告,試圖欺騙毫無戒心的使用者,下載到惡意的 Slack 應用程式。

資安意識培訓平台 KnowBe4 則表示,雖然大多數惡意廣告都只是誘騙消費者點擊,並且透過偽造正版網頁的方式,意圖竊取個人資料,但部分網站其實會發起更加主動的攻擊,即便只是單純開啟網頁並瀏覽,消費者的裝置仍有可能因此受到病毒感染。

使用者信任 Google 導致放鬆警戒

事實上,惡意廣告攻擊在資安領域並不新鮮,但網路犯罪分子變得越來越聰明,使得這些被投放的廣告,往往顯得非常真實,導致使用者容易上當;尤其是那些出現在 Google 搜尋引擎前排的贊助廣告,由於人們對 Google 的普遍信任,導致消費者經常會忽略掉點擊連結所帶來的風險。

麻省理工學院資訊科技教授 Stuart Madnick 指出,當使用者在 Google 搜尋中看到某些內容時,下意識會認為 Google 提供的連結安全且有效。

但事實上,Google 搜尋中包含的惡意廣告仍為數眾多,但這並不是 Google 本身的問題,而是所有搜尋引擎都必須面對的難題;駭客可能會將假廣告投放到其他平台,例如微軟的 Bing,只是因為 Google 使用率較高,人們更加信任 Google 所以放鬆了警戒。

雖然 Google 搜尋中大多數廣告仍然合法,但也有一些不良廣告可能會遭到遺漏,因此沒有被系統剔除。Stuart Madnick 教授表示,Google 接受廣告投放,概念上其實有點像郵差跟寄件者之間的關係,郵差只負責收信、寄信,但不會去檢查寄件者的目的,更不會曉得收件者的需求。

不要點搜尋結果的贊助商廣告

在 Google 過濾機制百密仍有一疏的情況下,消費者只能選擇主動採取保護措施,避免自己受到惡意廣告侵害。

資安專家建議,使用者應該盡可能避免點擊在搜尋過程中,任何出現的贊助商連結,轉而點選那些在廣告區塊下方的普通搜尋結果;由於普通搜尋結果沒有受到金錢贊助而提高曝光度,因此被駭客拿來惡意使用,並且進行網路釣魚攻擊的可能性自然較小。

其次,如果使用者已經點了廣告區塊的贊助商連結,那麼請在採取任何其他操作之前,首先檢查瀏覽器頂部的 URL,確保該網站確實來自官方;若發現自己進入了可疑網站,資安專家建議立刻將瀏覽器視窗關閉,大多數情況下可以避免進一步的麻煩。

資安專家也指出,使用者應該確保電腦和手機上的作業系統、瀏覽器都保持在最新版,避免駭客運用瀏覽器漏洞,將惡意程式偷渡下載到裝置中;此外,安裝防毒軟體、改用隱私功能更強的瀏覽器,也都有助於避免使用者遭到駭客攻擊。

如果使用者仍有餘力,那麼還可以進一步把可疑廣告直接提報給搜尋引擎,方便官方進行下一步調查,保護其他人避免落入相同陷阱,為網路安全做出實質貢獻。

文章來源

 

You may also like...

發佈留言