Come i criminali usano Google Ads per rubare credenziali

Cosa è importante sapere:

A gennaio 2025, i criminali usano annunci Google per ingannare aziende e sottrarre credenziali. Le aziende possono perdere il controllo degli account Ads, subire spese fraudolente e danni reputazionali. Rafforzare la sicurezza degli account con autenticazione avanzata e formazione sul phishing.

Tempo di lettura: 3 minuti

Dove e come i criminali informatici hanno preso di mira Google Ads per sottrarre credenziali e causare danni finanziari significativi? In questo articolo analizziamo una campagna di phishing avanzata che sfrutta gli annunci di Google per ingannare gli utenti e accedere ai loro account pubblicitari. Un caso che dimostra come anche le aziende più attente possano essere vulnerabili a sofisticati attacchi di ingegneria sociale.

Cosa sta succedendo: una campagna di phishing su Google Ads

I criminali informatici hanno avviato un’attività fraudolenta che sfrutta gli annunci sponsorizzati di Google per ingannare le vittime e rubare le credenziali dei loro account Google Ads. Questo metodo innovativo combina tecniche di malvertising e phishing per apparire del tutto autentico.

Le vittime, alla ricerca di informazioni o strumenti pubblicitari su Google, vedono annunci sponsorizzati che sembrano provenire da Google stesso. Questi annunci li indirizzano verso una pagina di accesso falsa, ospitata su Google Sites, che replica in tutto e per tutto la homepage di Google Ads.

Perché questo attacco è così efficace?

L’uso di Google Sites consente ai criminali di sfruttare la fiducia nel dominio “sites.google.com”, che condivide lo stesso root domain di “ads.google.com”. Questo trucco inganna facilmente gli utenti, anche quelli esperti, rendendo difficile distinguere l’autenticità della pagina.

Chi sono le vittime principali?

  • Aziende che gestiscono campagne pubblicitarie online.
  • Professionisti del marketing digitale.
  • Operatori di e-commerce che utilizzano Google Ads per promuovere i loro prodotti e servizi.

Queste categorie di utenti, spesso abituate a monitorare i propri annunci e quelli della concorrenza, possono cadere nella trappola perché non utilizzano strumenti come gli ad-blocker, aumentando così l’esposizione al rischio.

Come avviene l’attacco in 5 fasi

1. L’inganno iniziale: La vittima clicca su un annuncio sponsorizzato e accede alla pagina di phishing.2. Raccolta dati: Il phishing kit registra le credenziali, i cookie e altri identificatori unici.3. Notifica sospetta: La vittima riceve un’email che segnala un accesso da una posizione insolita, spesso in Brasile.4. Compromissione: Se l’accesso non viene bloccato, l’attaccante aggiunge un nuovo amministratore all’account Google Ads.5. Abuso: I criminali usano l’account compromesso per acquisti fraudolenti o lo rivendono su forum di hacking.

Quali sono i gruppi dietro questi attacchi?

Secondo Malwarebytes Labs, almeno tre gruppi sono coinvolti:

  • Gruppi di lingua portoghese, probabilmente operanti dal Brasile.
  • Attori asiatici, con sede a Hong Kong o in Cina.
  • Cybercriminali dell’Europa orientale, esperti di campagne di phishing su larga scala.

Questi gruppi condividono un obiettivo comune: monetizzare gli account rubati, sia rivendendoli che utilizzandoli per altre attività criminali.

I numeri dell’abuso di Google Ads

Secondo un rapporto pubblicato da Google nel 2023:

  • 206,5 milioni di annunci sono stati bloccati o rimossi per violazioni delle policy.
  • 3,4 miliardi di annunci sono stati rimossi per contenuti ingannevoli o dannosi.
  • Oltre 5,6 milioni di account pubblicitari sono stati sospesi.

Questi dati dimostrano l’enorme sforzo di Google per combattere l’abuso della piattaforma, ma anche le sfide crescenti nel fronteggiare attacchi così sofisticati.

Dove le aziende devono prestare attenzione

  • Monitoraggio degli annunci sponsorizzati: Verificare sempre l’autenticità dei link negli annunci.
  • Protezione dell’account Google Ads: Implementare l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza.
  • Formazione del personale: Informare i team su come riconoscere le email e i siti di phishing.
  • Uso di strumenti anti-phishing: Valutare soluzioni tecnologiche che rilevino e blocchino tentativi di phishing.
Fake ad che impersona Google Ads per phishing credenziali.

Un annuncio fraudolento utilizzato per ingannare gli utenti di Google Ads.

Quando e come contrastare queste minacce

La campagna di phishing è stata osservata nel corso del 2024 e continua a rappresentare una minaccia attiva per le aziende. Gli esperti consigliano di agire immediatamente in caso di sospetto compromesso dell’account:

  1. Cambiare le credenziali di accesso appena possibile.
  2. Controllare gli amministratori attivi e rimuovere eventuali utenti non autorizzati.
  3. Contattare il supporto Google Ads per segnalare l’incidente e ripristinare l’account.

Cosa fare ora?

Gli attacchi che utilizzano Google Ads rappresentano una nuova frontiera del phishing, mirata direttamente a uno degli strumenti più usati dalle aziende per il marketing online. Sapere dove cercare segnali di pericolo, come riconoscere le truffe e quando agire può fare la differenza tra proteggere i propri dati o subire gravi perdite.

La sicurezza informatica non è mai un costo, ma un investimento. Aziende di ogni dimensione devono rimanere vigili e informate per difendere i loro asset digitali e finanziari.