Google Adsense/Adwords公式サイトのように偽装したフィッシングサイトにご注意を
Google Adsenseの管理画面にログインしようとしたところ、あやうくフィッシングサイトに引っかかりそうになったので注意喚起。
Google検索で、「google adsense」と検索すると「google.com - Log In - Sign Up」という広告が出ました。「広告」という表示とともに、ドメインとして「adwords.google.com」が表示されているので、これだけを見るとGoogleによる正規の広告のように見えます(なお、現時点では対処されたのかすでに表示されなくなっています)。
Googleに見せかけたフィッシングサイトに引っかかりそうになったので注意喚起。「google adsense」でググるとトップにURLとして「adwords.google.com」ドメインが表示された広告が出るが、これがフィッシングサイトへの誘導になっている(続く) pic.twitter.com/97esL2inYC
— hylom (@hylom) October 6, 2017
ところが、この広告をクリックすると「adwords-google-website.com」というドメインのサイトに飛ばされます。このサイトやログイン画面はGoogleのものに似ていますが、よく見るとSSL接続ではありませんし、サインイン画面も非SSL接続。Googleでこれはあり得ません。
この広告をクリックすると、「adwords-google-website.com」」というドメインのサイトに飛ばされる。ここでSIGN INをクリックするとおなじみサインインページが表示されるのだが、サインイン画面にも関わらずSSL接続ではない(これで気付いた)。(続く) pic.twitter.com/S7RyC9IZUv
— hylom (@hylom) October 6, 2017
このサイトのドメイン情報をWHOISで調べて見ると、登録者組織は記入されておらず、連絡先メールもyandex.comドメイン。Googleとは関係なさそうです。
このドメイン「adwords-google-website.com」をWHOISで調べると、連絡先はなぜかyandex.comドメインでどう見てもGoogleとは関係なさそう。ということでフィッシングサイトだと思われます。 pic.twitter.com/8XFJZ6pQHF
— hylom (@hylom) October 6, 2017
はてなブックマークコメントによると、どうもAdWordsでは表示するURLを任意に指定できてしまうようです。
また、このサイトにメールアドレスとパスワードを入力すると、それに加えて登録している電話番号の入力も求められます(架空のアカウント情報を使って検証しています)。
ちなみに、このフィッシングサイトのログイン画面にメールアドレス/パスワードを入力すると、Googleアカウントに登録している電話番号を入力するよう求められます(架空のアドレスで試しております)。番号を入力すると正規サイトにリダイレクトされる模様。 pic.twitter.com/mhPHIuy0dH
— hylom (@hylom) October 6, 2017
ということで、皆様ご注意ください。AdSenseの管理画面をブックマークしておらず、毎回ググってログインしようとしていると引っかかってしまいますよ……。