Шахраї отруюють офіційні сторінки підтримки через Google Рекламу

Нова Варація Шахрайства Використовує Приховані URL Параметри

У тривожному розвитку шахрайств у сфері технічної підтримки, злочинці почали купувати рекламу в Google для відомих компаній—таких як Microsoft, Apple, HP, PayPal та Netflix—і додають невидимі URL параметри, які вносять підроблені телефонні номери безпосередньо на офіційні сторінки підтримки, які відвідують користувачі.

«Якщо ви покладаєтеся лише на адресний рядок для підтвердження того, що перебуваєте на справжньому сайті, цей трюк пройде повз вас», — зазначає Жером Сегура, провідний аналітик з безпеки програмного забезпечення в Malwarebytes.

Як Відбувається Ін’єкція

Коли користувач натискає на рекламований результат у Google, відображений домен (наприклад, https://www.hp.com) є справжнім, але гіперпосилання насправді веде до:

https://www.hp.com/kb/index?page=search&q=☏Call%20Us%20+1-805-749-2108&locale=en_US

Оскільки рекламна політика Google показує лише ім’я домену (www.hp.com) і приховує додані параметри запиту, жертви не підозрюють нічого лихого. Коли браузер запитує URL, веб-сервер HP обробляє параметр q і, через недостатню валідацію вводу, відображає підроблений номер телефону поряд з офіційним контентом підтримки.

Технічний Аналіз Атакуючого Вектора

1. Налаштування Шкідливих Реклам у Google

• • Рекламні матеріали націлені на популярні ключові слова, такі як «HP Підтримка» або «Служба підтримки Netflix».
• • Google показує лише домен, без повного шляху чи рядка запиту.
• • Зловмисники використовують це, вбудовуючи HTML-символи або JavaScript-дружні дані в параметри.

2. Обробка Параметрів на Серверах

Більшість корпоративних порталів підтримки використовують серверні фреймворки (наприклад, ASP.NET, Java Spring MVC), які з’єднують параметри запиту в шаблоні сторінки без строгого білої списку. Типовий процес:

1. Користувач надсилає GET запит з ?q=☏Call%20Us%20+1-805-749-2108.
2. Серверний механізм рендерингу вбудовує q в тег або
   .
3. Браузер відображає підроблений номер, стилізований ідентично легітимному тексту підтримки.

3. Сумісність Браузерів та Обмеження

Ця технологія працює в усіх основних браузерах—Chrome (Blink), Safari (WebKit) та Edge (Chromium)—оскільки вона базується виключно на парсингу URL запитів, а не на використанні вразливостей JavaScript або DOM.

Глибший Аналіз: Системні Вразливості

У своїй основі шахрайство використовує два недоліки:

• Недостатня санітизація вводу та валідація параметрів на сервері.
• Відсутність перевірок цілісності URL шляху для розрізнення внутрішніх та сторонніх запитів.

Оскільки Malwarebytes нещодавно виправили свій сайт, впровадивши строгий фільтр параметрів (відхиляючи будь-яке значення q, що містить неалфавітні символи), компанії без подібних правил для веб-додатків (WAF) залишаються вразливими.

Стратегії Пом’якшення та Найкращі Практики

Захисти на Стороні Сервера

• Створіть білий список дозволених ключів запиту і строго визначте прийнятні шаблони значень за допомогою регулярних виразів (наприклад, ^[a-zA-Z0-9s-]{1,50}$).
• Впровадьте Політику Безпеки Контенту (CSP), щоб обмежити вбудовані стилі та скрипти, зменшуючи ризик динамічної ін’єкції.
• Використовуйте обернений проксі або WAF (наприклад, ModSecurity, Cloudflare) з власними правилами для виявлення аномальних даних.

Обізнаність Клієнтів

• Вибирайте органічні результати пошуку замість реклами, коли шукаєте офіційну підтримку.
• Використовуйте розширення браузера або пакети безпеки, які сигналізують про неочікувані зміни в DOM.
• Для підприємств впровадьте DNS через HTTPS (DoH) та безпечне DNS-фільтрування, щоб заблокувати відомі шахрайські домени.

Ширші Наслідки для Безпеки Вебу

Ця нова загроза підкреслює сліпу пляму в сучасній веб-екосистемі: цілісність інтерфейсу. Навіть сайти з надійними SSL/TLS сертифікатами можуть бути скомпрометовані через ін’єкцію контенту на основі URL, якщо серверна логіка сліпо довіряє параметрам запиту.

«Перевірка адресного рядка необхідна, але недостатня; нам потрібна верифікація на всіх етапах», — радить доктор Олена Кириллова, старший архітектор безпеки в CyberShield Labs.

Поки великі рекламні платформи та постачальники контенту не впровадять строгіші правила прозорості параметрів—такі як Google, що показує повні URL або попереджає, коли рядки запиту містять нестандартні символи—користувачі залишаються під загрозою.

Висновок

Останнє шахрайство у сфері технічної підтримки підкреслює, що безпека є такою ж сильною, як найслабша ланка в ланцюзі. Поєднуючи цільову рекламу з недостатнім фільтруванням на стороні сервера, зловмисники знайшли новий вектор для обману навіть обережних користувачів. Компанії повинні зміцнити свою логіку парсингу параметрів, а користувачі повинні ставитися до реклами з підвищеною обережністю—особливо коли їх просять зателефонувати за номером, показаним на тому, що виглядає як офіційний сайт.