在近期的網絡安全威脅事件中，黑客利用虛假的 Semrush 廣告，試圖竊取 Google 賬戶憑證。

Semrush 是一款頗受眾多企業歡迎的 SEO 和廣告平臺，40% 的財富 500 強公司都在使用。攻擊者正是看中了 Semrush 在業界積累的信任度，精心策劃了這場惡意攻擊，目標直指極具價值的 Google 賬戶信息。

網絡釣魚流程

此次網絡釣魚活動從投放 “Google Ads” 廣告拉開序幕，這些廣告會將用戶導向一個偽造的 Semrush 登錄頁面。

虛假的 Semrush 和 Google 帳戶登錄頁面

起初，廣告打著 “Google Ads” 的旗號，沒過多久，便完全偽裝成 Semrush 的樣子。

攻擊者注冊了與 Semrush 極為相似的域名，借助這些域名，將用戶誘騙至虛假登錄頁面。值得注意的是，這些頁面只允許用戶使用 Google 賬戶憑證登錄，顯然，他們的主要目標就是獲取 Google 賬戶信息。一旦受害者輸入賬戶憑證，信息便會被立即傳送給攻擊者，如此一來，Google Analytics（谷歌分析）和 Google Search Console（谷歌搜索控制臺）中的敏感數據極有可能被泄露。

影響與風險

據相關報告指出，黑客入侵 Google 賬戶后，能夠獲取關鍵的業務數據，比如網站性能指標、用戶行為模式，以及 Google Analytics 中的財務洞察信息。這些信息一旦落入不法分子手中，他們便能借此在競爭中搶占先機，甚至實施金融欺詐。

再者，Google Analytics 和 Search Console 的數據與 Semrush 這類工具存在集成關系，這意味著攻擊者即便不直接登錄 Google 賬戶，也能獲取大量機密商業信息。這種數據的互聯互通，還可能讓攻擊者冒充企業，哄騙供應商或合作伙伴向欺詐賬戶轉賬，進而造成更嚴重的財務損失。

應對措施與建議

為應對這一威脅，網絡安全專家已將這些惡意廣告報告給 Google，Malwarebytes 等公司也已著手部署針對此類網絡釣魚活動的防護措施。

釣魚頁面

專家建議，用戶在點擊廣告時務必謹慎，尤其是那些會跳轉到陌生登錄頁面的廣告。同時，采取諸如開啟雙因素身份驗證、定期監控賬戶活動等強化安全措施，有助于防范此類攻擊。鑒于品牌冒充仍是常見的攻擊手段，個人和企業都應時刻保持警惕，積極主動地保護自身的數字身份安全。

參考及來源：https://gbhackers.com/hackers-deploy-fake-semrush-ads-to-steal-google/