別亂點Google搜尋廣告！400萬鎂加密貨幣已被駭，4工具幫你防詐

---

Google 關鍵字惡意廣告讓多人受害，400 萬美元蒸發

你是否也有類似經驗？用 Google 搜尋加密貨幣、區塊鏈項目時，最上方偶爾會出現「贊助商廣告」字樣的相關網站，這其實是商家用 Google Ads 服務投放的關鍵字廣告。然而，近日有 Web3 資安公司警告，有不肖人士透過投放廣告，把網站偽裝成知名區塊鏈項目，誘騙一些無戒心的加密貨幣用戶上鉤。

Web3 資安公司 Scam Sniffer 指出，近期 Google 搜尋廣告的詐騙情形激增，在過去一個月內就有 3 千多人受害，共損失了價值約 400 萬美元的加密資產。這些被偷走的資產中，有部分流向了中心化交易所幣安（Binance）、Kucoin，以及混幣器服務 Tornado.Cash。

Scam Sniffer 針對受害者使用的關鍵字分析後發現，在 Google 搜尋結果第一頁上出現了許多惡意廣告，分別是偽裝成以太坊質押項目 Lido 以及去中心化金融（DeFi）一站式平台 Zapper.fi。若用戶沒有仔細確認，就會不小心點進假網站。這些網站的介面通常會類似於正版，並要求用戶使用加密貨幣錢包簽署授權，若沒有安裝一些資安提醒工具，錢包中的資產就很容易被騙走。

---

駭客用 2 招繞過 Google 審查

除了 Lido 與 Zapper 之外，駭客使用的關鍵字還有 Stargate、Defillama、Orbiter Finance 和 Radiant，而廣告投放商來自烏克蘭及加拿大。不過，通常 Google 會進行審查，盡量避免惡意廣告出現，那他們是怎麼逃過官方的法眼的？Scam Sniffer 調查出了 2 種方法：

• 參數區分：駭客使用了 Google Ads 服務中，用來追蹤點擊次數的參數「gclid」，這讓他們能在審查階段就能正常在 Google 搜尋頁面上顯示，繞過了審查流程。

• 防止調適：一些惡意廣告會運用反調適措施，在開啟開發者工具模式時，能跳轉到正版網站，但用戶若是直接進入網站時，就會跳轉到假網站。該策略也能幫助駭客繞過 Google 的審查。

---

駭客報酬率高達 276%，4 工具幫你防詐

Scam Sniffer 還發現，關鍵字廣告的成本是「每點擊一次 1 至 2 美元」，以點擊用戶為 7,500 位、轉化率 40% 來計算，駭客花費的總成本約為 15,000 美元，報酬率約為 276%。

釣魚網站防不勝防，幣圈用戶除了要有「不要亂點陌生人給的連結」、「不要隨意簽署授權」的觀念外，也可以在瀏覽器上加裝一些監測詐騙的擴充功能，譬如 PeckShieldAlert（AegisWeb3）、Pocket Universe、Revoke.cash 還有本文提到的 Scam Sniffer 等，讓你在誤入釣魚網站並簽署授權時，可以被即時提醒，避開大部分的詐騙。