诈骗团伙套用CNN域名在Google上投放诈骗广告

2023年10月有黑客利用Punycode转码域名在谷歌搜索上投放密码管理器KeePass广告，诱导用户下载携带病毒的版本实时攻击并窃取数据，对专业人士来说很容易发现这是钓鱼网站，但谷歌搜索的广告审核人员并未发现。

一方面这涉及到广告营收问题，另一方面就是谷歌没有对广告进行严格的事后审核，因此在广告通过后黑客就可以将网站内容替换为恶意内容。

日前安全软件开发商Malwarebytes再次发现类似的钓鱼网站，这次发现的钓鱼网站应该印度或者尼日利亚诈骗团伙投放的，因为落地页是个虚假的微软支持热线。

这次诈骗团伙使用的并非虚假域名，他们似乎通过某种方式利用了新闻网站CNN的域名，当用户在谷歌搜索CNN时就会看到排在第一位的广告，表面看起来这就是CNN官网，点击进入后屏幕弹出所谓的病毒警报，要求用户拨打虚假的微软支持热线获取帮助。

这种假冒微软支持热线的诈骗团伙多数都在印度和尼日利亚，主要针对的则是美国用户，他们通过虚拟呼叫中心转接用户的呼入，然后忽悠用户支付费用解决病毒问题。

至于为什么诈骗团伙能利用CNN域名这就不得而知了，有可能是漏洞，但更大可能是CNN存在内鬼为诈骗团伙开了个子页面，这样诈骗团伙就能利用CNN的名号投放广告了。

等广告通过谷歌审核后再将其跳转到诈骗网站，这个诈骗网站还是托管在Azure上的容器，使用的域名是*.web.core.Windows.net，估计诈骗团伙希望域名里带Windows能够提升可信度吧。