在近期的网络安全威胁事件中，黑客利用虚假的 Semrush 广告，试图窃取 Google 账户凭证。

Semrush 是一款颇受众多企业欢迎的 SEO 和广告平台，40% 的财富 500 强公司都在使用。攻击者正是看中了 Semrush 在业界积累的信任度，精心策划了这场恶意攻击，目标直指极具价值的 Google 账户信息。

网络钓鱼流程

此次网络钓鱼活动从投放 “Google Ads” 广告拉开序幕，这些广告会将用户导向一个伪造的 Semrush 登录页面。

虚假的 Semrush 和 Google 帐户登录页面

起初，广告打着 “Google Ads” 的旗号，没过多久，便完全伪装成 Semrush 的样子。

攻击者注册了与 Semrush 极为相似的域名，借助这些域名，将用户诱骗至虚假登录页面。值得注意的是，这些页面只允许用户使用 Google 账户凭证登录，显然，他们的主要目标就是获取 Google 账户信息。一旦受害者输入账户凭证，信息便会被立即传送给攻击者，如此一来，Google Analytics（谷歌分析）和 Google Search Console（谷歌搜索控制台）中的敏感数据极有可能被泄露。

影响与风险

据相关报告指出，黑客入侵 Google 账户后，能够获取关键的业务数据，比如网站性能指标、用户行为模式，以及 Google Analytics 中的财务洞察信息。这些信息一旦落入不法分子手中，他们便能借此在竞争中抢占先机，甚至实施金融欺诈。

再者，Google Analytics 和 Search Console 的数据与 Semrush 这类工具存在集成关系，这意味着攻击者即便不直接登录 Google 账户，也能获取大量机密商业信息。这种数据的互联互通，还可能让攻击者冒充企业，哄骗供应商或合作伙伴向欺诈账户转账，进而造成更严重的财务损失。

应对措施与建议

为应对这一威胁，网络安全专家已将这些恶意广告报告给 Google，Malwarebytes 等公司也已着手部署针对此类网络钓鱼活动的防护措施。

钓鱼页面 

专家建议，用户在点击广告时务必谨慎，尤其是那些会跳转到陌生登录页面的广告。同时，采取诸如开启双因素身份验证、定期监控账户活动等强化安全措施，有助于防范此类攻击。鉴于品牌冒充仍是常见的攻击手段，个人和企业都应时刻保持警惕，积极主动地保护自身的数字身份安全。

参考及来源：https://gbhackers.com/hackers-deploy-fake-semrush-ads-to-steal-google/