Utiliser la régie Google Ads pour piéger les clients de Google Ads… une idée plutôt osée ? Les cybercriminels redoublent d’ingéniosité pour piéger les internautes, exploitant désormais des plateformes réputées pour diffuser des publicités malveillantes. Une tentative de phishing en ce moment-même sur Google Ads… et ciblant les internautes à la recherche du lien pour accéder à Google Ads, illustre l’ampleur de cette menace.
Une campagne de phishing sophistiquée via Google Ads
L’alerte a été donnée sur X par Laurent, Des individus malveillants ont lancé une campagne publicitaire ciblant les mots-clés « Google Ads ». En utilisant l’outil de création de sites de Google (sites.google.com), ils ont hébergé une page de phishing imitant l’interface de connexion de Google Ads. L’objectif est de dérober les identifiants des gestionnaires de comptes publicitaires.
Le malvertising : une technique de plus en plus répandue
Le malvertising, contraction de « malicious advertising », désigne l’utilisation de publicités en ligne pour diffuser des logiciels malveillants ou mener des attaques de phishing. Cette méthode permet aux cybercriminels de toucher un large public en exploitant des plateformes publicitaires légitimes.
Dans le cas précis de la campagne de phishing Google Ads, voici la technique utilisée par les pirates :
Étape 1 : une campagne qui imite les campagnes officielles de Google Ads
Étape 2 : une page web hébergée sur le CMS de Google… qui permet d’avoir une URL en « google.com »
Étape 3 : une page externe qui a pour but de voler les données de l’utilisateur Google Ads
Des attaques de plus en plus difficiles à détecter
La qualité des publicités malveillantes s’est considérablement améliorée, rendant leur détection complexe. Les internautes peuvent être redirigés vers des sites frauduleux sans même cliquer sur une annonce, par le simple fait de la consulter.
Les cybercriminels exploitent des services légitimes, tels que Google Sites, pour héberger leurs pages de phishing. Cette utilisation confère une apparence de légitimité à leurs arnaques, trompant ainsi plus facilement les utilisateurs.
Les victimes de ces campagnes peuvent subir des vols d’informations sensibles, des pertes financières et des atteintes à leur réputation en ligne. Les entreprises sont particulièrement visées, avec des risques accrus pour leurs données et leurs opérations.
Comment se protéger du malvertising ?
Pour se prémunir contre ces menaces, il est recommandé de :
- Utiliser des bloqueurs de publicités et des solutions de sécurité fiables.
- Être vigilant quant aux liens sur lesquels on clique, même s’ils semblent provenir de sources légitimes.
- Vérifier l’URL des sites visités pour s’assurer de leur authenticité.
- Mettre régulièrement à jour ses logiciels et systèmes de sécurité.
La responsabilité des plateformes publicitaires
Les plateformes comme Ads sont conscientes de ces abus et mettent en place des mesures pour détecter et bloquer les publicités malveillantes. Cependant, la sophistication des attaques nécessite une vigilance constante et une adaptation continue des mécanismes de protection.
Gardez à l’esprit que les campagnes de malvertising évoluent rapidement, avec des techniques de plus en plus élaborées pour contourner les mesures de sécurité.