你是否曾經點過 Google 搜尋結果中,最上方的贊助商廣告連結?如果至今還有這樣的習慣,資安專家建議你以後最好不要再繼續這麼做,因為駭客現在已經將 Google 搜尋的廣告區塊當成攻擊目標,藉由投放惡意廣告和釣魚網站,藉此竊取你的個人資料。
惡意廣告幫助駭客竊取個人資料
網路安全軟體公司 Malwarebytes 資深研究總監 Jérôme Segura 表示,近期美國的「惡意廣告」事件增加了 42%,駭客偽造了幾乎所有類型的品牌相關網站,並透過 Google 搜尋的贊助商廣告功能,植入惡意連結以進行網路釣魚。
這些被駭客惡意投放的贊助商廣告,不只是會出現在搜尋結果的最上方,還有可能透過廣告聯播網,擴散到其他經常民眾被造訪的主流網站。
Jérôme Segura 進一步指出,企業員工近來也成為惡意廣告的攻擊目標,例如資安專家最近就發現,有駭客刻意偽裝成 Salesforce 公司,在網路上投放協作軟體 Slack 的假廣告,試圖欺騙毫無戒心的使用者,下載到惡意的 Slack 應用程式。
資安意識培訓平台 KnowBe4 則表示,雖然大多數惡意廣告都只是誘騙消費者點擊,並且透過偽造正版網頁的方式,意圖竊取個人資料,但部分網站其實會發起更加主動的攻擊,即便只是單純開啟網頁並瀏覽,消費者的裝置仍有可能因此受到病毒感染。
使用者信任 Google 導致放鬆警戒
事實上,惡意廣告攻擊在資安領域並不新鮮,但網路犯罪分子變得越來越聰明,使得這些被投放的廣告,往往顯得非常真實,導致使用者容易上當;尤其是那些出現在 Google 搜尋引擎前排的贊助廣告,由於人們對 Google 的普遍信任,導致消費者經常會忽略掉點擊連結所帶來的風險。
麻省理工學院資訊科技教授 Stuart Madnick 指出,當使用者在 Google 搜尋中看到某些內容時,下意識會認為 Google 提供的連結安全且有效。
但事實上,Google 搜尋中包含的惡意廣告仍為數眾多,但這並不是 Google 本身的問題,而是所有搜尋引擎都必須面對的難題;駭客可能會將假廣告投放到其他平台,例如微軟的 Bing,只是因為 Google 使用率較高,人們更加信任 Google 所以放鬆了警戒。
雖然 Google 搜尋中大多數廣告仍然合法,但也有一些不良廣告可能會遭到遺漏,因此沒有被系統剔除。Stuart Madnick 教授表示,Google 接受廣告投放,概念上其實有點像郵差跟寄件者之間的關係,郵差只負責收信、寄信,但不會去檢查寄件者的目的,更不會曉得收件者的需求。
不要點搜尋結果的贊助商廣告
在 Google 過濾機制百密仍有一疏的情況下,消費者只能選擇主動採取保護措施,避免自己受到惡意廣告侵害。
資安專家建議,使用者應該盡可能避免點擊在搜尋過程中,任何出現的贊助商連結,轉而點選那些在廣告區塊下方的普通搜尋結果;由於普通搜尋結果沒有受到金錢贊助而提高曝光度,因此被駭客拿來惡意使用,並且進行網路釣魚攻擊的可能性自然較小。
其次,如果使用者已經點了廣告區塊的贊助商連結,那麼請在採取任何其他操作之前,首先檢查瀏覽器頂部的 URL,確保該網站確實來自官方;若發現自己進入了可疑網站,資安專家建議立刻將瀏覽器視窗關閉,大多數情況下可以避免進一步的麻煩。
資安專家也指出,使用者應該確保電腦和手機上的作業系統、瀏覽器都保持在最新版,避免駭客運用瀏覽器漏洞,將惡意程式偷渡下載到裝置中;此外,安裝防毒軟體、改用隱私功能更強的瀏覽器,也都有助於避免使用者遭到駭客攻擊。
如果使用者仍有餘力,那麼還可以進一步把可疑廣告直接提報給搜尋引擎,方便官方進行下一步調查,保護其他人避免落入相同陷阱,為網路安全做出實質貢獻。
本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:Google 搜尋第一條連結不要馬上點!專家指「惡意廣告」已成駭客目標
Polygon recent comments