В начале октября в поисковой выдаче Google наблюдалась довольно интересная картина — при вводе в поисковую строку запроса «Google AdWords», сайт настоящего Adwords отображался на втором месте, в то время как первое место занимала реклама якобы тоже Adwords, только на ломаном английском.

С AdWords крадутся данные: как избежать взлома?

Если Вы перейдете по ссылке в рекламном объявлении, то окажетесь на странице, которая внешне ничем не отличается от страницы авторизации в Google AdWords, разница будет заключаться лишь в написании URL:

Осторожно - Фэйковый url Adwords

Обратите внимание: в рекламе Google AdWords можно указывать несколько урлов — один будет виден пользователю, а второй урл будет фактическим, то есть именно на него и будет перенаправлен юзер. Как только пользователь, ни о чем не подозревая, введет в появившемся окне идентификации свои логин и пароль, его попросят ввести номер телефона, к которому привязан аккаунт, якобы для подтверждения идентификации.

Верификация телефонного номера и кража аккаунта Adwords

Ну и как только Вы оставили мошенникам абсолютно все данные о своем аккаунте, Вам присылают сообщение о том, что аккаунт успешно авторизован, хотя на самом деле успешно были лишь украдены все Ваши данные.

После передачи данных, мошенники преспокойно смогут создавать рекламные кампании с Вашего аккаунта, тратить Ваши средства, в общем делать все, к чему есть доступ и у Вас.

По сути такое мошенничество не является чем-то новым, вопрос только один — как мошенникам удалось пройти модерацию Google? Ведь поисковик зачастую не пропускает даже вполне безобидные рекламные объявления, а тут вдруг позволил воровать персональные данные своих же пользователей.

Как избежать кражи персональных данных:

  1. Обязательно обращайте внимание на адресную строку, которая высветиться, как только Вы зайдете в личный кабинет. Они должна иметь привычный защищенный протокол https без каких-либо посторонних символов, на подобии xyz, как на первом скриншоте.
  2. >Для сохранения паролей пользуйтесь специальными софтами на подобии LastPass, которые автоматически подставляют все данные авторизации на необходимых страницах. Если вдруг данные не подставляются, то это еще один лишний повод убедиться в корректность адресной строки.

Автор: Eugene Grudanov & Irina Tsumarava (Founders at Kraftblick)