ION:警惕谷歌搜索廣告的區塊鏈騙局_LAI

作者：

时间：

背景

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例，他们都无一不例外错点了Google的搜索广告从而进入到恶意网站，并在使用中过程签署了恶意签名，最终导致钱包里的资产丢失。

恶意广告

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面，大部分用户可能对搜索广告没有概念就直接打开第一个了，然而这些都是假冒的恶意网站。

定向品牌

通过分析了部分关键词，我们定位到了一些恶意的广告和网站，如Zapper,Lido,Stargate,Defillama等。

dYdX官方提醒：尚未发币，用户需警惕相关局:2月9日消息，去中心化衍生品交易所dYdX官方推特表示，目前尚未发币，也没有进行预售或空投。用户需警惕相关局，比如dydxtokensale.com，不要向如下地址转账：0xe8C9A01879D22c72537DACF7ecd237409C55Bc75。[2021/2/9 19:18:19]

恶意网站

打开一个Zapper的恶意广告，可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件，你会得到实时的风险提醒。

火币：警惕假币局，务必认准 TRC20-HT 官方合约地址:据官方消息，火币全球站已于9月18日在波场TRON网络中发行 TRC20-HT跨链资产（非增发式发行，此部分TRC20-HT将锚定等量ERC20资产，HT总量保持不变）。

同时有用户反馈，波场网络近期出现了一批假的HT合约地址和HT代币。为谨防用户上当受，火币提示用户，切勿轻易相信陌生人提供的代币地址，不要交易任何非官方合约地址的代币，请务必认准TRC20-HT官方合约地址：TDyvndWuvX5xTBwHPYJi7J3Yq8pq8yh62h

对伪造HT合约代币用于的行为，火币保留追究相关责任人法律责任的权利。其中部分假HT合约地址如下：[2020/9/23]

目前很多钱包对于这类签名还没有明确的风险提示，普通用户很可能以为是普通的登陆签名，顺手就签了。关于更多Permit的历史可以看看这篇文章。

恶意广告主

安全公司：警惕针对数字货币交易所用户的鱼叉式钓鱼攻击:近日，慢雾安全团队收到情报，有专业黑产团队针对交易所用户进行大规模邮件批量撒网钓鱼攻击。慢雾安全团队分析发现，攻击者针对macOS/Windows系统都给出了下载链接，执行文件后会有一系列恶意操作，如上传本地系统用户信息、窃取Electrum钱包中的敏感信息等。

针对这类钓鱼攻击，慢雾安全团队建议：1）认清官方邮箱后缀；2）谨慎对待未知来源邮件里的链接与附件；3）怀疑一切以“升级”、“账号异常”等理由的邮件；4）对于需要处理但可疑的邮件内容，需及时咨询专业人员。详情见原文链接。[2020/6/10]

通过分析这些恶意广告信息，我们发现这些恶意广告来自这些广告主的投放:

分析 |BTC缩量反弹短期警惕空头再次发力:根据Huobi交易平台数据显示，BTC最新成交价格 8675 美元，分析师Potter表示，如下图BTC日线，在BTC上周五晚间快速拉高至9000美元上方，随后又大幅暴跌至8000美元附近然后又拉回至8300美元，当日蜡烛线形成一个上下长插针阴柱形态，日线MACD也形成死叉状态，预计BTC后面一段时间大概率处于区间弱势整理状态，不过当时提示过BTC日线收盘若能站稳8200美元上方，盘整蓄势后还有继续上冲试探前高的可能，最近这三天一直处于小幅向上反弹走势，不足的是反弹量能持续萎缩，动能不足后续上涨持续性受限，币价今天最高反弹接近8800美元，依然属于量价背离的缩量上涨，并不是健康走势。从盘面上看，日线走势也处于上升楔形三角并沿布林带中轨小幅拉升，同时我们注意到一条比较关键的均线支撑EMA12，BTC从5月初温和放量站上EMA12截止目前一个多月时间，一直处于该均线上方震荡上行，期间几次向下插针刺穿该均线，不过K线实体部分均处于EMA12上方，表明该均线近一个月来对BTC走势有一定的支撑作用，后期在未放量跌破该均线之前，这轮的上涨趋势可能不会得到真正逆转。目前操作上关注8800至9000美元区间压力，短期若能再次站稳9000美元，后期的上涨空间继续打开，若放量跌破8500，将会带动其余主流梯队同步调整，在未择向突破之前，区间高抛低吸为主。[2019/6/3]

来自乌克兰的ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?

德国总统：需要警惕数字货币投机活动和泡沫:2月2日消息，德国总统施泰因迈尔周四警告称，金融行业有责任去防止数字货币市场的投机行为及泡沫的发生。他表示：“在关注数字货币市场的发展时，我看到的不是货币，而是。防止新的投机活动和泡沫的产生主要是金融行业的责任。”他还表示，市场以实体经济为基础非常重要，同时也需要保护小投资者。[2018/2/2]

来自加拿大的TRACYANNMCLEISH

绕过审核

通过分析这些恶意广告，我们发现了一些有意思的用于绕过广告审核的情况。

参数区分

比如同样的域名：

gclid参数访问就展示恶意网站

不带就是卖AV接收器的正常页面

gclid是Google广告用于追踪点击的参数，如果你点击Google的搜索广告结果，链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页，这样一来就绕过了谷歌的广告审核。

防止调试

同样有些恶意广告还存在反调试：

开发者工具:禁用缓存开启→跳转到正常网站

直接打开→跳转到恶意网站

对比分析我们发现他们是通过请求头cache-control的差异来跳转到不一样的连接，在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外，一些爬虫可能也会开启这个头保证抓取到最新的内容，这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象，这些铺天盖地的恶意广告是通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被用户看到，从而造成了严重的损失。

那么对于GoogleAds有什么改进办法？

接入Web3Focus的恶意网站检测引擎。

持续监控投放前和投放后整个生命周期中的落地页情况，及时发现中间动态切换或通过参数跳转这种情况的发生。

被盗预估

为了分析潜在的规模，我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现，一共大约$4.16m被盗，3k个受害者。大部分被盗发生在近期一个月左右。

数据详情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

资金流向

通过分析几个比较大的资金归集地址，有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。

几个较大的资金归集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341

广告投入估算