Phishing en Google Ads: una amenaza muy real

 

Aunque podamos creer falsamente que Google es infalible y protege tus cuentas de Google Ads contra todo tipo de amenazas, lo cierto es que hay modalidades de fraude muy presentes que tienen como target a los anunciantes . En concreto hablamos de phishing.

 

Antes de entrar en detalle lo primero es explicar que el phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima.

El estafador, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, sitio web o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.

 

¿y esto pasa en Google Ads? Sí….

 

 

Modalidades más habituales en Google Ads

 

1- Login de Google Ads

 

 

Mediante anuncios de Google Ads (sí, como lo lees) el estafador coloca un anuncio en las primeras posiciones haciéndose pasar por la página oficial de Google Ads para hacer el login . Una vez hace click la página de destino es igual que la original y el usuario introduce usuario y contraseña con tranquilidad mientras no se da cuenta que está regalando sus datos.

 

Un anuncio trampa…

 

…y el login es idéntico

 

2- Correos electrónicos

Otra modalidad se da mediante correos electrónicos alertando que el saldo de la cuenta se ha agotado o que el pago ha sido rechazado . El look and feel del email es perfecto e idéntico al de los emails que envía Adwords. Evidentemente el correo que lo envía no ni tampoco incluyen el ID de la cuenta. Son detalles que, aunque mínimos, dan una pista. Una vez el usuario hace click lo lleva a un portal de login falso como en el caso anterior y el anunciante cae en la trampa…

 

Objetivo de los criminales

Imagina que un anunciante tiene una cuenta que funciona en piloto automático, gasta 1000 USD al mes y que el administrador entra cada 6 meses para revisar si todo está bien. Ahora imagina que le llega un correo porque la tarjeta ha fallado y entra a la cuenta. Tras revisar se da cuenta que todo está bien y debe haber habido un error del sistema o que el pago falló, pero en un segundo intento sí pasó.

La realidad es que alguien más tiene sus datos y lo que va a hacer es pausar sus campañas o una parte de ellas (para que no se de cuenta) y poner sus campañas de bitcoins, viagra o cualquier temática que quiera promocionar para generarle tráfico que genere ingresos…esto hasta que el anunciante se de cuenta meses más tarde. Ahora multiplica esto por cientos de anunciantes y te darás cuenta el negocio que hay detrás del phishing en Adwords. Fíjate en esto…

Si en algún momento te encuentras en la conversación de “yo no hice ese cambio”, “yo tampoco”…no descartes pensar en que algo así pasó.

 

Consejos para no caer

Sin duda, el primero es el sentido común. Si algo no está bien, sal corriendo. Si nos fijamos en los detalles debemos:

  • Revisar el email que nos envía el correo.
  • Leer con atención el anuncio sobre el que hacemos click.
  • Mirar los detalles del email para ver si es veraz.
  • Revisar la URL antes de introducir tus datos.
  • Cambiar la contraseña inmediatamente si tenemos cualquier sospecha de que hemos caído.
  • Cambiar la contraseña periódicamente.
  • No logearnos con conexiones abiertas o con PCs públicos.
  • Habilitar la verificación en dos pasos.
  • Denunciar si vemos algún intento de phishing antes de que otros usuarios caigan.

Aunque se trata de un tipo de estafas poco conocidas, pero es importante conocer para poder evitarlas.

 

Academia BlueCaribu

Comparte el contenido

Share by: