Phishing en Google AdWords: Lo que se le cuela a Google

A pesar de los tiempos que corren, donde todo esta altamente monitorizado en campañas digitales, a todo el mundo se le puede colar algo, incluso al mismísimo Google. Hay muchos casos de fraude en internet, y en Google tienen equipos dedicados a rastrear los contenidos que sus robots no han detectado o no pueden detectar, contenidos no aptos para ser vistos, y que deben ser eliminados del buscador, tanto en Google como en YouTube, que ya es el segundo buscador más utilizado del mundo, después de Google.

En este caso, me he encontrado con este resultado de búsqueda en Google con un desktop, anuncio bastante sospechoso por la forma en que esta escrito el texto del título del anuncio ( AdWords Ingresar España ), y la combinación de una traducción mala al español con una parte del anuncio en inglés…suena a anuncio creado en bulk, traducido de uno original para intentar generar tráfico en diferentes idiomas, y probablemente un anuncio similar esta generando impresiones en otros dominios territoriales de Google de otros países.

Tambien es extraño que no hayan usado el Path1 y Path2 del ETA ( Extended Text Ad ), desaprovechando esta parte del anuncio estando solo en el Top1. Todo eso me ha hecho sospechar que algo raro estaba pasando con este anuncio.

Una vez visto que el anuncio era bastante sospechoso, he accedido al clickthrough URL ( URL destino ) para ver que la URL destino es una concatenación de subdominios super sospechosa que termina en el dominio principal continue3fh13des.com

La URL en cuestión carga la pantalla de login de las cuentas de Google, pero se ve que es un phising entre otras cosas porque hay un error ortográfico horroroso, Adwors en lugar de Adwords…y además que AdWords se escribe con la W mayúscula! Un despropósito de phising, no puedes poner AdWords mal escrito…

Una mirada rápida al código fuente demuestra que lo que han hecho en este caso es copiar la web del login de cuentas de Google mediante una herramienta que hace un espejo (mirror) de una web en concreto, en este caso la herramienta usada es HTTrack Website Copier, y la copia fue hecha el 18 de Marzo tal como se ve en el HTML de la página web clonada en este intento de phising.

Finalmente, si quiesieramos indagar un poco sobre la indentidad del autor/a de este phising, haciendo una consulta whois en el dominio detectado continue3fh13des.com nos da como resultado que el dominio se ha registrado desde Middlesex en UK, el nombre está protegido a pesar de que aparece el Código Postal del registrante así como un teléfono móvil de UK ( +44 ).

A pesar de que alguien que intenta robar datos de cuentas de Google intente no dejar rastros en su estrategia de phising, si te pones a analizar hay formas de rastrear el origen…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*