在近期的网络安全威胁事件中，黑客利用虚假的 Semrush 广告，试图窃取 Google 账户凭证。

Semrush 是一款颇受众多企业欢迎的 SEO 和广告平台，40% 的财富 500 强公司都在使用。攻击者正是看中了 Semrush 在业界积累的信任度，精心策划了这场恶意攻击，目标直指极具价值的 Google 账户信息。

网络钓鱼流程

此次网络钓鱼活动从投放 “Google Ads” 广告拉开序幕，这些广告会将用户导向一个伪造的 Semrush 登录页面。

起初，广告打着 “Google Ads” 的旗号，没过多久，便完全伪装成 Semrush 的样子。

攻击者注册了与 Semrush 极为相似的域名，借助这些域名，将用户诱骗至虚假登录页面。值得注意的是，这些页面只允许用户使用 Google 账户凭证登录，显然，他们的主要目标就是获取 Google 账户信息。一旦受害者输入账户凭证，信息便会被立即传送给攻击者，如此一来，Google Analytics（谷歌分析）和 Google Search Console（谷歌搜索控制台）中的敏感数据极有可能被泄露。

影响与风险

据相关报告指出，黑客入侵 Google 账户后，能够获取关键的业务数据，比如网站性能指标、用户行为模式，以及 Google Analytics 中的财务洞察信息。这些信息一旦落入不法分子手中，他们便能借此在竞争中抢占先机，甚至实施金融欺诈。

再者，Google Analytics 和 Search Console 的数据与 Semrush 这类工具存在集成关系，这意味着攻击者即便不直接登录 Google 账户，也能获取大量机密商业信息。这种数据的互联互通，还可能让攻击者冒充企业，哄骗供应商或合作伙伴向欺诈账户转账，进而造成更严重的财务损失。

应对措施与建议

为应对这一威胁，网络安全专家已将这些恶意广告报告给 Google，Malwarebytes 等公司也已着手部署针对此类网络钓鱼活动的防护措施。

专家建议，用户在点击广告时务必谨慎，尤其是那些会跳转到陌生登录页面的广告。同时，采取诸如开启双因素身份验证、定期监控账户活动等强化安全措施，有助于防范此类攻击。鉴于品牌冒充仍是常见的攻击手段，个人和企业都应时刻保持警惕，积极主动地保护自身的数字身份安全。

参考及来源：https://gbhackers.com/hackers-deploy-fake-semrush-ads-to-steal-google/