Rawan Hackers Pakai Google Ads Demi Sebar Iklan Palsu

Para hackers (peretas) lagi-lagi bikin ulah, yang kali ini pakai modus lewat platform iklan Google Ads. Ngerinya, hal ini jadi siklus tidak berujung di mana akun yang kena hack dipakai untuk membuat iklan palsu lebih banyak lagi.

Dilansir dari Cybernews, menurut temuan dari Malwarebytes Labs, trik ini dimulai dari iklan palsu yang muncul di hasil pencarian Google. Misalnya, pengguna yang login ke Google Ads, lalu ketik di search bar. Di bagian atas, muncul iklan sponsor palsu yang terlihat asli sekali.

Tapi ketika di klik, pengguna malah diarahkan ke halaman login palsu yang mirip banget dengan Google Ads asli. Nah, di sini hacker langsung dapet data login kamu. Mereka bisa bikin akun admin palsu dengan mengumpulkan kredensial penguna, ambil alih akun yang dipakai buat menyebar lebih banyak iklan scam.

"Ini adalah operasi malvertising paling mengerikan yang pernah kami lacak, yang menyasar inti bisnis Google dan kemungkinan memengaruhi ribuan pengguna di seluruh dunia," kata salah satu peneliti Malwarebytes Labs yang tidak disebutkan namanya, dikutip dari Cybernews pada Rabu, (15/1).

Peneliti meyakini bahwa tujuan para hacker ialah untuk menjual akun yang dicuri di forum gelap, atau dipakai sendiri untuk menyebar lebih banyak iklan palsu. Mengingat akun Google Ads bernilai tinggi, terutama kalau sudah ada iklan besar yang berjalan.

Lebih mengerikan lagi, iklan palsu tersebut susah sekali untuk dibedakan dengan yang asli. Jika ingin memastikan, pengguna dapat klik menu tiga titik di samping iklan untuk melihat info pengiklan. Biasanya, pengiklan asli memiliki tanda 'verified by Google', tidak seperti pengiklan palsu yang jelas tidak ada.

"Beberapa akun yang diretas tersebut sudah menjalankan ratusan iklan sah lainnya, dan salah satunya adalah untuk perusahaan elektronik Taiwan yang populer," ungkap si peneliti.

Lebih lanjut, para peneliti juga menemukan trik lain yang digunakan hacker, seperti phishing page di-host Google Sites. Karena URL-nya pakai domain Google, akan susah untuk orang awam membedakan mana yang asli, dan mana yang hanya jebakan.

Hanya dalam beberapa hari, para peneliti menemukan laporan bahwa lebih dari 50 iklan palsu dan banyak korban yang tertipu, bahkan kehilangan uang. Namun, Google masih dinilai kurang tegas untuk mengatasi masalah iklan palsu tersebut.

"Para penjahat menggunakan anggaran orang lain untuk terus menyebarkan kejahatan. Baik uang tersebut digunakan untuk iklan yang sah maupun yang jahat, Google tetap memperoleh pendapatan dari kampanye iklan tersebut," tulis salah satu laporan dari korban, dikutip Cybernews, Rabu, (15/1).

Para korban menyampaikan bahwa mereka telah menerima pemberitahuan dari Google yang menunjukkan adanya login mencurigakan dari Brazil. Ada juga kelompok lain dengan modus serupa menggunakan akun dari Hongkong, yang tampaknya berbasis di Asia. Ditemukan juga kampanye iklan palsu ketiga, yang meniru Google Authenticator menggunakan umpan CAPTCHA palsu yang berasal dari Eropa Timur.