In oktober 2023 gebruikten hackers door Punycode getranscodeerde domeinnamen om advertenties voor de wachtwoordbeheerder KeePass op Google Search te plaatsen, waardoor gebruikers virusdragende versies downloadden om realtime aanvallen uit te voeren en gegevens te stelen. Het was voor professionals gemakkelijk om te ontdekken dat dit een phishing-website was, maar de advertentierecensenten van Google Zoeken konden dit niet vinden.

Aan de ene kant gaat dit gepaard met problemen met de advertentie-inkomsten, en aan de andere kant voert Google geen strikte post-review van advertenties uit, zodat hackers website-inhoud kunnen vervangen door kwaadaardige inhoud nadat de advertenties zijn doorgegeven.

Onlangs ontdekte beveiligingssoftware-ontwikkelaar Malwarebytes opnieuw een soortgelijke phishing-website. De phishing-website die dit keer werd ontdekt, werd waarschijnlijk gelanceerd door een fraudebende in India of Nigeria, omdat de landingspagina een valse Microsoft-ondersteuningshotline was.

De fraudebende maakte dit keer geen gebruik van een valse domeinnaam. Ze leken op de een of andere manier de domeinnaam van de nieuwswebsite CNN te hebben gebruikt. Wanneer gebruikers op Google naar CNN zoeken, zien ze de advertentie op de eerste plaats. Op het eerste gezicht lijkt het de officiële CNN-website te zijn. Nadat u op de knop hebt geklikt om naar binnen te gaan, verschijnt er een zogenaamde viruswaarschuwing op het scherm, waarin de gebruiker wordt gevraagd een valse Microsoft-ondersteuningshotline te bellen voor hulp.

De meeste van deze fraudegroepen die zich voordoen als ondersteuningshotlines van Microsoft zijn gevestigd in India en Nigeria en richten zich vooral op Amerikaanse gebruikers. Ze schakelen de inkomende oproepen van gebruikers door via virtuele callcenters en misleiden gebruikers vervolgens om een ​​vergoeding te betalen om virusproblemen op te lossen.

Waarom de fraudebende de CNN-domeinnaam kon gebruiken, is onbekend. Het kan een maas in de wet zijn, maar waarschijnlijker is dat een insider bij CNN een subpagina voor de fraudebende heeft geopend, zodat de fraudebende de naam van CNN kan gebruiken om advertenties te plaatsen.

Nadat de advertentie door Google is beoordeeld, wordt deze doorgestuurd naar een frauduleuze website. Deze frauduleuze website is nog steeds een container die wordt gehost op Azure en de gebruikte domeinnaam is *.web.core.Windows.net. Er wordt geschat dat de fraudebende hoopt dat het hebben van Windows in de domeinnaam de geloofwaardigheid ervan zal vergroten.