Malwarebytes Labs资安研究人员揭露近期一场针对Google Ads广告主的大规模钓鱼攻击，攻击者藉由恶意假冒Google Ads的广告，成功窃取多个广告帐户的登入凭证，并利用被盗帐户挪用广告预算，进一步扩大其恶意活动範围。

该广告攻击行动之所以受到瞩目，研究人员指出，评估攻击的规模与精密程度，这场攻击是目前追蹤到最具破坏力的恶意广告行动，同时也暴露出全球数位广告生态系的脆弱性。

根据资安研究人员的调查，这些恶意广告伪装为Google Ads服务的官方广告，出现在Google搜寻结果中的赞助广告栏位，诱使用户点击并进入假登入页面。假登入页面大多託管于Google Sites，利用与Google官方网站类似的域名设计来诱骗受害者，进而绕过广告显示URL与最终URL域名必须相符的规定。

一旦受害者在假页面中输入帐户凭证，攻击者便可取得帐户的完整控制权，进而更改帐户设定，甚至将自己的电子邮件地址添加为帐户管理员。

攻击背后涉及至少三个不同的犯罪团体，分别来自巴西、亚洲以及东欧。恶意攻击者利用各种技术，包括浏览器指纹辨识与流量过滤，来筛选目标并收集详细的受害者资讯。一些被盗的广告帐户原本就已在运作大量合法广告，攻击者窃取后，直接挪用这些帐户的广告预算来投放更多假广告，让攻击範围进一步扩大。

受影响的广告主遍及全球，包括个人与企业，甚至台湾知名电子公司也成为攻击目标。针对这些问题，Google的应对措施备受质疑。研究人员指出，儘管多次向Google举报钓鱼假广告，许多恶意广告仍活跃于搜寻结果中。一些恶意广告主在被多次举报后仍未被彻底移除，显示出Google在帐户安全与广告滥用管理机制中的执行效率不足，对广告生态系的信任度构成挑战。

研究人员建议广告主提高警觉，避免直接点击搜寻结果中的广告，而应透过Google的官方网站登入或操作广告帐户。此外，加强双因素验证等安全措施也有助于降低帐户被盗风险。