防不勝防！駭客操縱Google廣告 以假亂真官方聯絡資訊

記者孫敬／編譯

資安公司Malwarebytes近日揭露，駭客已發展出一種高度複雜的新技術，能夠巧妙地操縱Google搜尋結果，使其顯示虛假的聯絡電話，藉此詐騙不知情的使用者。與傳統釣魚手法主要依賴假冒網站不同，這種新方式的險惡之處在於，即使點擊連結進入的是真正的官方網站，使用者仍可能撥打到詐騙集團的電話。

延伸閱讀：趕快更新你的Chrome瀏覽器！資安專家揪出2大高危險等級安全漏洞

完美偽裝合法性，將電話號碼遭悄悄替換成詐團電話

端看這場騙局，始於駭客購買Google搜尋結果中的贊助廣告，使其外觀與知名品牌的官方廣告高度相似。當使用者點擊這些贊助連結後，他們確實會被導向到該公司的真實官方網站，而非像傳統釣魚攻擊那樣被引導到一個偽造的網站。這種關鍵差異使得這項詐騙手法極具欺騙性，因為使用者在視覺上幾乎無法察覺任何異狀。

使用者在瀏覽器的網址列中看到的是真實的網址，網站介面和內容也都是正版的。然而，在使用者不知情的情況下，搜尋結果頁面上顯示的聯絡電話已經被駭客悄悄替換成詐騙集團的號碼。

Malwarebytes在6月18日發布的分析報告中解釋：「這些策略之所以極為有效，正是因為它們向潛在受害者呈現了多層次的真實性。」

不只財物損失，個資與設備恐遭入侵

透過這種看似合法的偽裝，詐騙份子在取得受害者的信任後，可以進一步套取敏感的個人資訊、支付細節，甚至誘導使用者授予遠端存取其裝置的權限。

資安專家指出，此攻擊並非透過傳統的瀏覽器惡意軟體或網域名稱劫持（DNS hijacking）來實現，而是駭客利用了Google贊助搜尋結果的呈現與顯示方式中的漏洞，對其進行精密的參數操作。這種方法特別擅長鎖定高價值服務的使用者，例如金融平台、串流影音服務或科技服務等，因為這些服務的使用者通常會主動搜尋客服電話，並且可能為了解決帳號問題而願意分享敏感資訊。

資料來源：Cyber Security News

瀏覽 350 次