先前曾有釣魚網站透過「Punycode 網域」在 Google 搜尋結果中投放廣告,誘導使用者下載內含後門程式的 KeePass 密碼管理工具。
Punycode 是一種可以將非 ASCII 字符轉換成英文字母組成的合法網址形式,例如利用「аpple.com」(其中的 a 是俄文字母)來仿冒「apple.com」。這類網域乍看之下與官方網址幾乎一模一樣,一旦使用者誤登入,就可能導致帳戶密碼等機密資料外洩。
這種手法雖然老套,卻依然能通過 Google 的廣告審核,讓人不禁懷疑是 Google 明知有問題仍放行,還是真的審核人員判斷失準。不過,現在Google廣告已經能阻止這類廣告了,但不幸的是,又有新的手法出現。
廣告網址顯示限制被用來掩蓋真相
現在,詐騙集團又找到了新的方式,利用 Google 廣告系統的結構性漏洞,偽裝成 Apple、Microsoft、HP 和 Netflix 等知名品牌的官方網站。這次更進一步,不再使用轉義(Punycode)網域,而是直接套用官方網站的真實網址做開頭。
Google 廣告系統目前僅顯示網址的一部分,像這樣:
這讓釣魚網站有機可乘。
鎖定官方論壇,偽造搜尋結果誘導撥打假客服
詐騙手法其實不複雜。以 Apple 客服網站為例,使用者可以輸入任何關鍵字搜尋內容,即使沒有結果,也會產生一組網址。詐騙集團就利用這些「空白搜尋結果頁面」,加入虛假的客服電話,然後將其拿來當作廣告落地頁投放。
Google 不會驗證廣告投放者是否真的是 Apple 官方,也不審查這些號碼的真偽。只要花錢,就能讓廣告在搜尋「Apple 客服電話」時出現在結果最上方。
由於顯示網址看起來像是來自 https://support.apple.com,使用者幾乎無從察覺異常,若直接撥打頁面上電話,就會誤入詐騙集團的陷阱。
該怪 Google 嗎?
這已經不能單純歸咎於系統漏洞或審核疏失。有合理懷疑指出,部分廣告代理商可能為了業績,明知內容有問題卻仍協助詐騙集團上架廣告;甚至不排除 Google 內部有人默許,或刻意放寬審核標準。
因此,「安裝廣告阻擋器」已不只是為了畫面清爽,更是保護個人資訊的重要防線。如果不封鎖這些廣告,誤點誤撥的結果可能就是帳號被盜、資料外洩或財務損失。
- 延伸閱讀:DeepSeek 爆紅引發山寨域名潮,逾 2650 個釣魚網站伺機竊取個資
- 延伸閱讀:釣魚網站騙人新招:偽裝「我不是機器人」驗證機制、誘導用戶打開Windows執行惡意命令
- 延伸閱讀:銀行簡訊要求更改網路銀行密碼?小心為釣魚網站騙取個資,帳戶餘額被掏空
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!