martes, julio 14, 2015

Cómo los cibercriminales hacen BlackSEO con cuentas robadas de Google Adwords

Hace un par de semanas, más o menos, una persona me contactó para contarme su caso, que me resultó de lo más curioso. Resulta que le habían robado su contraseña de Google y le habían creado campañas de Google Adwords consumiendo los fondos de dinero que tuviera en sus cuentas, y que podría haber sido mucho peor de no controlar el consumo de dinero de la tarjeta de crédito asociado a la cuenta.

Figura 1: Cómo los cibercriminales hacen BlackSEO con cuentas robadas de Google Adwords

Para los que no lo sepan, Google Adwords es la joya de la corona en los servicios de Google. Los especialistas en campañas de SEO (Search Engine Optimization), los responsables de makerting y los equipos comerciales, hacen uso de estos servicios para analizar y comprar tráfico a Google asociado a determinados términos. Es decir, evalúan el posicionamiento de sus sitios web, blogs, o tiendas online en base a determinados términos, y cuando lo ven necesario compran anuncios patrocinados asociados a determinados términos. Para muchas empresas esto es el funcionamiento habitual de su negocio, y no contar con Google Adwords arruinaría la rentabilidad de sus empresas.

Black SEO y Google Adwords

Por otro lado, hay empresarios de "moral relajada" que en lugar de hacer trabajo de SEO para aumentar el tráfico orgánico de sus activos o comprar tráfico a Google con el sistema de Adwords, lo que hacen es tirar del BlackSEO, o lo que es lo mismo, contratar grupos dedicados al mundo del Fraude Online de dudosa reputación que a precios más económicos te garantizan tráfico a tus activos.

Figura 2: Campaña de BlackSEO usando servidores del Albacete Balompié

Estos grupos dedicados al BlackSEO pueden hacer de todo, desde posicionar mejor los recursos por medio de campañas de spam, por medio de robo de pagerank haciendo hacking de servidores web y cloaking o hasta el uso de botnets que aumentan las visitas de forma artificial de un determinado sitio en Internet. Por supuesto, ese tráfico a veces es tráfico es de baja calidad y sigue siendo mucho más efectivo el uso de Google Adwords ya que el ratio de clientes es mucho mayor.

Es por eso que, para conseguir dotar de más calidad al tráfico que generan algunas "empresas u organizaciones" dedicadas a generar tráfico de forma barata hacia activo, se les haya ocurrido mezclar con todas sus fuentes tradicionales la creación de campañas de Google Adwords con cuentas robadas, que es lo que le ha sucedido a esta persona.

Figura 3: Cupones de promoción de Google Adwords en anuncios de revistas

Google utiliza campañas de captación de nuevos clientes con cheques de 30 € o 50 € para gastar en Adwords. Con ellas consigue muchos pequeños clientes que crean su cuenta Google Adwords, añaden su tarjeta de crédito a la cuenta, y luego generan pequeñas campañas de publicidad para ir probando. Son este tipo de clientes los que serían deseables para estos ladrones de Google Adwords, ya que suelen entrar poco al panel, y solo se darían cuenta de este robo cuando ya se hubiera producido.

El caso de un robo de cuenta de Google Adwords

En el caso en cuestión, el ladrón de la cuenta de Google Adwords creó varias campañas de publicidad, con sitios tan grandes como AT&T, por lo que parece que podría ser un agente libre subcontratado por alguna empresa de publicidad, SEO o marketing utilizada por AT&T que hubiera decidido aprovecharse de cuentas robadas. No olvidemos que algunas empresas supuestamente legítimas de publicidad podrían hacer uso de técnicas grises para ejercer sus cometidos, como vimos en el caso de los servicios de BlackASO (App Store Optimization) que se hacían con Shuabang Botnet, o con el ejemplo del Human BlackASO que dio la vuelta al mundo.

Figura 4: Un campaña llamada "Perras" para redirigir tráfico a att.net

En este caso en concreto, la víctima del robo se dio cuenta porque encontró un correo electrónico en la papelera de su cuenta de Gmail proveniente del servicio Google Adwords que le notificaba que se cancelaba una campaña . Es decir, el atacante le robó la cuenta, le creó las campañas y le gestionó el correo de Gmail para que no se diera cuenta de que le habían creado campañas, lo que significa que tal vez pensaba utilizar la cuenta más en el futuro.

Figura 5: Informe de cancelación de campaña por rechazo de tarjeta de crédito en el banco

Lo mejor de todo es que, la tarjeta de crédito que se había utilizado en estas campañas no era la tarjeta de crédito asociada a la cuenta original de Google Adwords - que debía estar sin fondos - sino que directamente habían utilizado una tarjeta de crédito robada a otra persona. Es decir, habrían obtenido con técnicas de carding o comprado en algún market de la Deep Web cuentas robadas, después habían robado la cuenta de Google Adwords de una persona, y habían configurado campañas de compra de tráfico para sitios legítimos de AT&T.

Figura 6: Lista completa de campañas creadas en la cuenta de Google Adwords robada

En cualquier caso, si tienes una cuenta de Google Adwords, acuérdate de tener un segundo factor de autenticación en el acceso a la misma, y limita los gastos de dinero que se pueden hacer en pagos de tus tarjetas de crédito asociadas, no vaya a ser que tengas una mala sorpresa un día de estos.

Saludos Malignos!

2 comentarios:

Jonathan Sandoval Fonseca dijo...

excelente jajajaja. tengo amigos que hacen 1000 dolares al dia con metodos asi.

Anónimo dijo...

Creo que erraron en grande al escribir "lo que es lo mismo, contratar grupos dedicados al mundo del Fraude Online".
El Black Hat SEO es verdaderamente amplio (el SEO en sí mismo lo es) y hay mucha diferencia entre romper las normas de Google y las morales/éticas para dañar o perjudicar a otras personas.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares