Мошенники используют Google Ads для внедрения поддельных линий поддержки на сайтах Apple и Microsoft.

Анонимный источник сообщает о новой схеме мошенников, предоставляющих техническую поддержку, которые научились внедрять поддельные номера телефонов на веб-страницы при посещении пользователями официальных сайтов компаний Apple, PayPal, Netflix и других. Как описала компания Malwarebytes в своем блоге, эта уловка может обмануть пользователей, заставляя их звонить по вредоносным номерам, даже если они принимают меры предосторожности, чтобы не стать жертвами подобного обмана.

Один из распространенных советов по безопасности – внимательно проверять адресную строку браузера, чтобы убедиться, что она указывает на официальный сайт организации. Однако данная схема обходит эту проверку.

Злоумышленники начинают с покупки рекламных объявлений Google, которые отображаются в верхней части результатов поиска по запросам, связанным с Microsoft, Apple, HP, PayPal, Netflix и другими сайтами. Google показывает в рекламе только схему и имя хоста сайта, на который ведет ссылка (например, https://www.microsoft.com/). При этом к адресу добавляются параметры после косой черты. Когда пользователь нажимает на объявление, открывается страница на официальном сайте. Добавленные параметры затем внедряют поддельные номера телефонов на страницу, которую видит пользователь.

Компания Google требует, чтобы в рекламе отображался официальный домен, на который она ведет, но разрешает добавлять параметры после доменного имени, которые не отображаются. Мошенники используют это, добавляя строки после имени хоста. Эти параметры не отображаются в рекламе Google, поэтому у пользователя нет очевидных оснований подозревать что-либо неладное. При нажатии на объявление пользователь переходит на правильный хост. Однако добавленные параметры внедряют поддельный номер телефона на веб-страницу, которую видит пользователь. Эта техника работает в большинстве браузеров и против большинства веб-сайтов. Сайт Malwarebytes.com также подвергся воздействию, пока недавно не начал фильтровать вредоносные параметры.