相关:Web浏览器状态栏是否始终受信任?

Google搜索如何更改URL工具提示中的位置?

我一直认为您可以“悬停”在上方链接,直到今天为止它的实际运行情况。他单击了恰好是广告的最高搜索结果,然后重定向到一个仿冒页面,冒充微软试图让他打“技术支持”电话。

我得到了相同的结果在不同网络上的另一台计算机。当我将鼠标悬停在链接上时,两个链接都在底部显示“ www.target.com”,但是单击广告链接会将您带到恶意软件页面,第二个链接(广告后的第一个搜索结果)会将您带到真正的目标.com页面。

如果在工具提示中显示错误的URL需要Javascript,那么技术支持中心如何将其Javascript放入Google搜索结果页面? >


UPDATE
在不同网络上全新安装Windows的虚拟机具有相同的结果:



这是URL的来源。看来它确实包含“ onmousedown” JavaScript,这是我链接到的第一个问题。 Google是否允许广告客户显示其所需的工具提示网址?



评论

这是相同的骗局模式。

这很好笑。它仍在显示。它还正在向我播放“重要安全信息”录音,这是礼貌但令人关注的发声机器人的讲话。

我从来没有机会向Google报告恶意广告,因此我搜索了“向Google报告虚假广告”,花了10分钟的时间才找到合适的报告形式。 support.google.com/adwords/troubleshooter/4578507

网络钓鱼站点托管在Cloudflare上。任何其他有兴趣举报的人都可以在这里进行:cloudflare.com/abuse/form

广告屏蔽是解决此问题的正确方法,也是唯一的解决方案。

#1 楼


如果在工具提示中显示错误的URL要求使用Javascript,那么技术支持中心如何将其Javascript导入Google搜索结果页面?进入搜索结果。那将是一种跨站点脚本攻击,其安全隐患与误导性广告大不相同。以及一系列跨域重定向。诈骗者可能危害了第三方广告商,并劫持了他们的重定向,将您引向诈骗网站。

设置链接目标是Google AdWords的一项故意功能。通常可以为广告链接指定一个自定义显示网址,该网址可以与有效最终网址不同。这个想法是允许通过跟踪器和代理域进行重定向,同时保持简短和描述性的链接。将鼠标悬停在广告上只会在状态栏中显示显示URL,而不会显示实际目标。

这里是一个示例: “鞋子”。
第一个广告链接显示www.zappos.com/Shoes




当我单击它时,实际上我被多次重定向:

https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChXXXXXXXd-6bXXXXXXXXXXXXkZw&ohost=www.google.com&cid=CAASXXXXXp8Yf-eNaDOrQ&sig=AOD64_3yXXXXXXXXXXXXXYX_t_11UYIw&q=&ved=0aXXXXXXHd-6bUXXXXXXXXXwIJA&adurl=
-- 302 -->
http://pixel.everesttech.net/3374/c?ev_sid=3&ev_ln=shoes&ev_lx=kwd-12666661&ev_crx=79908336500&ev_mt=e&ev_n=g&ev_ltx=&ev_pl=&ev_pos=1t1&ev_dvc=c&ev_dvm=&ev_phy=1026481&ev_loc=&ev_cx=333037340&ev_ax=23140824620&url=http://www.zappos.com/shoes?utm_source=google%26utm_medium=sem_g%26utm_campaign=333037340%26utm_term=kwd-12666661%26utm_content=79908336500%26zap_placement=1t1&gclid=CI3vqXXXXXXXXXXXXXBBA
-- 302 -->
http://www.zappos.com/shoes?gclid=CI3vXXXXXXXXXXXXXMBBA&utm_source=google&utm_medium=sem_g&utm_campaign=333037340&utm_term=kwd-12666661&utm_content=79908336500&zap_placement=1t1



很明显,Google对广告链接有严格的目的地要求,如果普通客户将链接目标设置为一个完全不同的领域。但是诈骗者偶尔会发现围绕审查过程的方法。
至少,Google关于“目的地不匹配”的政策非常明确:


不允许以下内容:


无法准确反映用户的目标位置
[...]
从最终URL重定向到将用户带到另一个域[...]



不过,可以允许受信任的第三方广告商发布跨域重定向。此处列出了一些例外情况,例如:


允许重定向的示例是使用代理页面的公司,例如AdWords
授权经销商。 [...]

例如:



原始网站:example.com

代理网站:示例.proxydomain.com

我们允许公司使用“ example.proxydomain.com”作为最终的URL,但保留“ example.com”作为显示URL。


一个主要的弱点是Google不控制第三方重定向器(在上面的示例中为pixel.everesttech.net)。 Google审核并批准了他们的广告后,他们可以直接开始重定向到其他域,而不会立即引起Google的注意。在您的情况下,攻击者有可能设法破坏了这些第三方服务之一,并将其​​重定向指向该骗局网站。诈骗模式,例如这份有关欺诈性亚马逊广告的报告,其显示URL的拼写为amazon.com,但重定向到类似的技术支持骗局。 )

评论


我不知道Google允许广告商这样做。似乎他们了解到,用户终于可以通过学习来抢先检查URL,因此他们有了“功能”来欺骗他们。他们真丢人! :(

–熊佳亚诺夫
17年6月2日在21:09

广告客户如何乞求用户不要阻止他们的广告,然后再废话,这是荒谬的。

–IllusiveBrian
17年6月3日,0:12

“此功能是明显的滥用磁铁,不应该存在”的投票按钮在哪里?

–user54862
17年6月3日在2:45

@ WumpusQ.Wumbley别介意Google,能够在状态栏中显示不同的目标地址的功能最初是浏览器中不应该存在的。

– Federico Poloni
17年6月3日,11:32

@NoBugs几年来,我一直在使用DuckDuckGo作为主要搜索引擎,但我对安全性的关注程度不高,而整体而言。我不能强迫其他人停止使用Google(或屏蔽广告),但更重要的是,这是对安全教育工作的打击。

–熊佳亚诺夫
17年6月3日在23:41

#2 楼

这是付费广告中的常见滥用行为(请注意左箭头尾部的“广告”图标)。

广告商希望跟踪点击Google广告的用户,部分是为了独立确认Google的点击账单,另一部分是免费赠送Cookie。因此,他们要求搜索引擎将用户发送到执行此操作的ClickURL,然后转发到正确的目的地。 ClickURL可能不在现场,例如在广告代理商处。

广告客户希望提供一个单独的DisplayURL,它只是文字广告中显示的URL。隐藏丑陋的广告代理商网址,并显示整洁的网址,而不是实际的目标网址(例如,较长的特定产品页面)。该DisplayURL被网络钓鱼者滥用。

永远不会为搜索引擎提供目标URL(ClickURL应该转发到该目标URL)。由于ClickURL通常与DisplayURL位于不同的域,因此很难进行管理。 Target可能会保留多个SEO,每个SEO都使用不同的Gooogle ID或广告代理,因此,突然有一个随机的Google ID运行带有target.com DisplayURL的广告,这并不奇怪。

广告客户很有可能是一家小型企业并且遭到了钓鱼攻击:即,垃圾邮件发送者掌握了他们的Google用户凭据,发现了一个具有存储的信用卡数据的Google广告帐户,并以其一角钱运行广告。

评论


如果您非常愚蠢地允许匹配的子域链接,请至少(通过反复模拟真实的浏览器)检查是否对显示URL域使用HTTP Redir。

– Cees Timmerman
17年4月4日在8:24

@CeesTimmerman很好的观察,我认为应该将其包含在我的答案中。输入法不是,因为如果您从所有付费广告滥用的总范围中“从30,000英尺处观察”,那么99%的内容过于主观,需要人工检查。因此,这里有庞大的编辑审查基础架构。 (您的Google / Facebook广告不会立即上线)。人们认为自动检测不适合开发人员带宽,因为它很少捕获编辑器遗漏的内容,并增加了更多编辑器和CS工作负载来处理误报。

–哈珀-恢复莫妮卡
17-6-5在16:46



Google的云工作量微不足道。

– Cees Timmerman
17年5月5日在18:18

AFAIK,Google实际上会检查所提供的URL是否确实重定向到了显示URL域(以及对目标页面内容的检查,还有很多很多)。但是,这只是定期进行,因此可以在进行初始检查后切换重定向URL,并在雷达下飞行直到下一次检查。

– jcaron
17年6月6日在10:47

我相信他们用相当明显的数据(用户代理,IP ...)进行了很多测试,但喜欢在混合中抛出一些不太容易检测到的请求。但是要保持难以检测到它们的频率,就不必太频繁,这会给不道德的用户留出相当多的时间来进行检测。

– jcaron
17年6月6日在23:19

#3 楼

Arminius提供的答案的一个方面是,它一定是某个时候Target所信任的代理商。除非您的AdWords帐户已列入白名单。这可以是品牌名称/版权允许其代表Google投放广告的帐户的CSV列表。因此,请参阅此处的表格

,因此,除了此处其他答案中解释的技术原因外,如果不访问您的adwords帐户中的品牌名称,几乎不可能做到这一点。而这只能来自Target在某个时候信任其AdWords管理的白名单广告代理商。或代表他们的外包代理机构被忽略了。

作为背景信息:
几年前,通常给我们提供“机会”来从新购买AdWords帐户的机会在中国建立广告代理商。中国代理商已获得访问AdWords的权限,并且似乎处于一种欣快的状态,Google允许他们无限制地创建帐户。滥用AdWords服务条款的帐户,表面上从来没有被列入黑名单。另一方面,大品牌将AdWords帐户管理外包给这些中国代理商,因为它们的管理率太高了。
这绝对是您可以使用这样一个知名品牌的可能情况。