Google AdWords phishing advarsel!
Jeg ved godt de har været i omløb i et stykke tid, men da jeg fik en af de her Google AdWords phishing emails igen idag, kom jeg til at tænke på at en advarsel mere ikke kunne skade. Det vigtigste er, at ingen tror at disse emails er rigtige og reagerer på dem!
Lad os starte med at se på, hvordan denne Google AdWords phishing email ser ud ….
This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message.———————————————————————————-
Dear AdWords Customer,
Your ads have stopped running because we were unable to process your billing information.
To activate your account and start running your ads, enter your billing information.In order to activate your account and start running your ads, enter your billing information.
Pease sign into your account at http://adwords.google.com/select/login, and update
your billing information.Once your account is reactivated and your billing information has been processed,
any your ads and campaigns can begin running immediately on Google.———————————————————————————-
The Google-AdWords Team
Som altid er der flere ting, som afslører at denne email ikke er fra Google, men lad mig starte med at kigge lidt på det, som kunne få mange til at tro, at den er rigtig.
- Afsender-adressen er den som Google også som regel bruger. Men det er jo også let nok at fake – og da særligt når det er en no-reply adresse
- Modtager-adressen – din adresse, er bare noget de har gættet sig til, eller fundet på nettet. De aner ikke om der faktisk er nogle der har en AdWords konto på den email adresse. Men meget ofte rammer de rigtigt. Måske skyldes det, at den email adresse som folk modtager mails på, også tit er den de bruger til AdWords. De ramte også rigtigt hos mig
- Disclaimeren i starten af emailen ligner meget den, som også står i rigtige emails fra Google AdWords teamet.
- Teksten ser ud til at være skrevet i text-format, som Google også plejer at gøre (men det er nu fake, og det kommer jeg tilbage til omlidt)
- Linket i emailen ser rigtigt ud (men det er også fake, og hænger sammen med ovenstående …)
Men heldigvis er der som også et par ting, der meget tydeligt afslører, at emailen ikke er rigtig.
For det første er emailen, som sagt, faktisk slet ikke skrevet som ren tekst – det er en HTML-email, der blot er formateret så det ligner ren tekst. Og hvorfor så det?
Årsagen skal findes i linket. For hvis det var en text-email, så er den URL vi ser i emailen, jo også den som faktisk er skrevet ind, men i HTML skriver man som du ved link-tekst og URL ind hver for sig. Og det er lige præcis det de har gjort.
I Emailen ser linket således ud:
Men bag denne tekst “gemmer” der sig URL’en: adwords.google.AspenVault.cn/select/Login
Jeg har fremhævet den midterste del af URL’en, der afslører, at domænet som der linkes til slet ikke er Google.com, men AspenVault.cn – og det er jo noget helt andet! URL’en er dog så snedigt konstrueret, at selv dem der faktisk kigger på den (hvilken man f.eks. kan komme til ved at køre musen henover linket i emailen) kan blive snydt. Første og sidste del ser jo rigtig nok ud – adwords.google og /select/Login. Meget elegant lavet. Men også et forsøg på snyd og bedrag, naturligvis.
Jeg har ikke selv tjekket denne URL. Jeg har ikke lige en maskine, som jeg tør udsætte for et bevidst angreb fra Kina (.cn)! Og jeg vil også advare dig om at gå derind – jeg aner ikke hvad sitet kan finde på at underlige ting.
Terkelsen skriver
Jeg er som regle meget på vagt overfor den slags mails, men kom alligevel en smule i tvivl og måtte tilbage og kigge lidt nærmere på en mail som jeg for noget tid siden modtog. Man kunne jo have overset noget.
//
Hej
Vi har forsøgt at gennemføre en betaling på DKK x.xxx,xx den xx-xx-2008
via dit primære kreditkort, men din kreditkortudsteder har afvist
betalingen. Dine annoncer kører stadigt, men vi kræver, at du snarest
opdaterer dine kreditkortoplysninger på din AdWords-konto for at sikre,
at dine annoncer fortsat vises.
Du kan opdatere dine kreditkortoplysninger ved at følge anvisningerne i
vores Hjælp på: https://adwords.google.com/support/?hl=da
Hvis du ikke manuelt kan ændre i dine betalingsoplysninger, forsøger
vores betalingssystem automatisk at debitere dit/dine kort inden for 24
timer. Hvis dette debiteringsforsøg mislykkes, forsøger vi ikke igen,
og vi sender dig herefter endnu en e-mail-meddelelse magen til denne.
Tak, fordi du annoncerer hos Google AdWords.
Med venlig hilsen
Google AdWords Team
————————
//
Jeg kan da lige tilføje at mailen var fra google og grunden, at jeg havde fået et nyt kort og derfor fået spærret det gamle kort.
Men vær alligevel ALTID på vagt! Havde det været en phishing mail iht. Demib´s beskrivelse kunne kort oplysningerne være havnet det forkerte sted.
Jesper Jørgensen skriver
Hej Mikkel
Fint med endnu en advarsel. Jeg hørte om en tilsvarende mail fra Visa inde på Amino.dk, men fik først mulighed for at dissekere sådan en mail da jeg fik den samme fra “Google”. Til at starte med kunne jeg ikke gennemskue den indtil jeg holdt musen over linket og så at det var fake.
Temmeligt udspekuleret.
Mvh Jesper
Optimator skriver
Bum! Så fik jeg også en mail fra “AdWords”.
Den skjulte adresse var en anden, men fremgangsmåden er den samme.
Tak for advarslen – det ligner jo til forveksling den ægte vare.
Kim Andersen skriver
Ja tusind tak for advarlsen Mikkel. Det er sku utroligt, hvor snu “de onde” er efterhånden er blevet 🙂
Hvis der på et tidspunkt er nogle som kommer til, eller af ren nysgerrighed følger linket osv. ville det være rart med en lille update over hvad der så sker…
Marcel Fuursted skriver
En god idé er også at holde øje med, hvilken mail det er sendt til. Phishing er forholdsvist let at lave, men at finde oplysninger såsom den mailadresse, man bruger til sine konti er straks værre…
Uden tvivl – en vigtig advarsel!
Optimator skriver
Så har jeg tjekket det, og man må sige at det er godt lavet.
Du bliver sendt til en side der fuldstændig ligner Adwords login siden – her kan du så logge ind med en hvilken som helst email og password (brug ikke dit eget naturligvis!! 🙂 )
Derefter bliver du sendt videre ind på et site der også fuldstændig ligner Adwords brugerfladen. Med Analytics og hele molevitten (et klik på analytics resulterer dog i en 404 side). Landingssiden er siden hvor du kan indtaste dine kontoinformationer.
Smukt arbejde….hvis man altså er cracker.
Mikkel deMib Svendsen skriver
Jeg opfatter normalt ikke mig selv, som specielt IT-dum, men alligevel blev jeg næsten snydt af den første af disse Google Phishing emails som faktisk kom til en email adresse som jeg tidligere har brugt til en AdWords konto – og netop dette var nok til at forvirre mig nok til, at jeg i et kort øjeblik troede emailen var rigtig …
Og hvis de nu skyder 3-4 milliarder emails afsted, skal de jo nok ramme nogle hundrede, rigtige …
Mikkel deMib Svendsen skriver
Tjekkede du også hvor manget “ondt” software de fik tvunget ned på din maskine mens du var derinde? 🙂
Optimator skriver
Heh, ja det er jeg i gang med nu 🙂
Optimator skriver
Umiddelbart intet at rapportere.
Ingen nye “sære” filer.
Ingen ikke identitificeret udgående trafik.
NOD32 antivirus siger ok.
SpyBot og Adaware siger ok.
Tjekket på et “nyt og rent” Vista system med Firefox.
Så jeg håber jeg er home free 🙂
Jesper Jørgensen skriver
Hvis folk er lige ved at opgive deres login og password ville det også være synd at forstyrre dem med en virus advarsel fra Nod32.
Optimator skriver
Så sandt så sandt. Don’t try it at home!
Lea Skov Lindbæk skriver
Hejsa Mikkel m.fl.
Jeg er en af de få, som åbenbart ikke har været klar over at der florerede fake Google fishing mails rundt – med det resultat at jeg er blevet fanget på krogen. I går aftes fik jeg en advarselsmail fra Google om, at mine kreditkort var heftigt overtrukne (der var trukket over 30.000 kr. på en dag), og jeg har nu fundet ud af, at jeg for et stykke tid siden har svaret på en fupmail, som jeg troede var fra Google.
Jeg har stoppet kreditkort, ændret adgangskode og email på min adwordskonto, og afventer svar fra Google om, hvordan jeg skal forholde mig.
Jeg føler mig jo ret dum, da det lader til, at jeg åbenbart er den eneste der er blevet narret, men jeg må jo prøve på at få rettet skuden op igen. Udover min Google adwords konto, er der så andet snavs, som der kan være kommet ind på mit netværk, som jeg skal få ryddet op i? Ligger der en trojansk hest, som springer på min netbank eller andet uhyggeligt….
Mvh. Lea
Mikkel deMib Svendsen skriver
Det lyder surt, lea! 🙁
Men er selvrisikoen på kreditkortet ikke begrænset til 1200 kr.?
Hvis man er blevet lokket ind på den slags websites er det altid en god ide at tjekke sin computer grundigt igennem med virus og spyrare programmer. Det er aldrig til at vide hvad de har placeret på din computer.
Lea Skov Lindbæk skriver
Hej Mikkel
Jeg har nu fået styr på det! Google hjalp med mig at få ryddet op i vores netværk, og jeg kommer ikke til at hæfte for noget.
Det sure er nu, at jeg skal oprette en ny Adwords konto og flytte alle mine kampagner, analytics etc – og det tager tid.
Så bortset fra besværet, så lader det til at jeg er sluppet for flere problemer. Men klart en erfaring rigere – den fejl laver jeg ikke igen!
Mvh. Lea
Dennis Aaen skriver
Tusind tak for advarslen Mikkel. Det er sku utroligt, hvad de finder på nu om dage.
Jeg sidder lige nu i en virksomhed, som netop benytter Adwords som en del af deres markedsføring. Når man kører sådan en kampagne kan man jo sagtens komme til at tro at det er fra Google Awords Teamet, hvis man ikke er vaks.
Jesper Jørgensen skriver
SOm en forlængelse af diskussionen her, synes jeg i skal tage et kig på denne artikel: http://blog.wired.com/27bstroke6/2008/04/isps-error-page.html
Den viser hvorledes det i nogle tilfælde kan lade sig gøre at lave XSS attacks på subdomæner der IKKE eksisterer, hvis ISP’en er et fjols. Og er ISP’en et fjols så er det for alvor farligt, fordi en hacker vil kunne sende phishing attacks mod alle links som *.paypal.com, *.ebay.com, *.google osv.
Mvh Jesper