Aunque se llegue a pensar que Google es infalible y te protege contra todo tipo de ataques y amenazas, deberías saber algo. El phishing en Google Ads existe. De hecho, existen ciertas modalidades de fraudes muy asentadas que tienen como público objetivo a los anunciantes. Necesitas aprender a protegerte.
Sin embargo, antes de nada, lo más recomendable es entender qué es lo que significa el phishing en su totalidad y la manera en la que podría afectarte.
Las estafas de suplantación de identidad son intentos de los estafadores para engañarte. Es decir, se disfrazan de organizaciones confiables y consiguen que compartas información personal. De hecho, incluso son capaces de diseñar sitios web falsos y hacerse pasar por otra entidad para que incluyas tu nombre de usuario y tu contraseña y tener acceso a la plataforma en cuestión.
Si no tienes habilitada la autenticación en dos pasos en estos sitios, engañarte será mucho más sencillo. El phishing, no obstante, puede realizarse de diferentes maneras. A través del email, de los anuncios online o en cualquier sitio web.
Por lo tanto, si bien es importante conocer los diferentes tipos de phishing a los que puedes enfrentarte, el que te afecta directamente como anunciante es el phishing en Google Ads.
Cómo funciona el phishing en Google Ads
Cuando realizas una búsqueda en un motor de búsqueda como Google para informarte sobre un tema determinado, a menudo podrás encontrar resultados que incluyen una combinación de publicidad pagada y resultados de búsqueda orgánicos.
Muchas personas no lo notan, pero los primeros resultados son en realidad anuncios. De hecho, si te fijas, la propia URL te indicará que se trata de publicidad. Se muestran en la parte superior de la página porque esas compañías han pagado a Google para que las coloque en los primeros puestos.
Sin embargo, los estafadores a veces crean anuncios en Google Ads para responder a palabras clave relacionadas con el sitio web que quieren suplantar. De esta forma, ese anuncio aparecería en el primer puesto. Y como consecuencia, los usuarios podrían hacer clic en él y confiar, automáticamente, en todo lo que venga de ahí.
Con todo, la página web de phishing se verá como un sitio web legítimo que únicamente solicita tus datos para registrarse o iniciar sesión. Sin embargo, una vez compartida esa información, los estafadores utilizarán los datos para acceder al sitio web real y robar tus fondos.
Phishing en el login de Google Ads
Como ves, además de en sitios web de cualquier índole, el phishing es muy común en Google Ads. De hecho, una de las modalidades más habituales de estafa se da en el propio login de Google Ads.
Tal y como has observado anteriormente, el estafador coloca un anuncio en las primeras posiciones. De esta manera, se hace pasar por la página oficial de Adwords. Todos esos esfuerzos están pensados para que el usuario inicie sesión. Una vez que haga clic en el enlace, la apariencia del sitio web será igual que la del original.
Por lo general, los usuarios dan por hecho que todos los resultados que llegan como anuncios son fiables. Es decir, no se presta especial atención al titular del anuncio. Y mucho menos a la URL. Sin embargo, ahí está la trampa, más visible que nunca.
Phishing en el correo electrónico
Otra de las modalidades de phishing se da mediante el email. De hecho, es muy frecuente recibir intentos de estafas a través de este canal.
Uno de los tipos de phishing más comunes vía correo electrónico se da mediante mensajes que te alertan de que el saldo se ha agotado o de que un pago se ha rechazado. Y es que el look & feel del email es idéntico al de los email que envía Google Ads.
No obstante, algo que se pasa por alto a menudo es que el correo que lo envía no incluye el ID de la cuenta. Se trata de pequeños detalles que aunque sean mínimos, pueden darte ciertas pistas. Sin embargo, una vez que el usuario hace clic, ya habrá caído en la trampa.
¿Cuál es el objetivo de los estafadores?
Ponte en una situación hipotética en la que tienes una cuenta que funciona en piloto automático. Inviertes 1000 euros al mes y accedes a ella cada ciertos meses para comprobar que todo está en orden. Imagina que recibes un email en el que se te avisa de que tu tarjeta ha sufrido algún fallo. Por lo tanto, vuelves a entrar en tu cuenta.
Tras comprobar que todo está en orden, podrías pensar que ha habido un error en el sistema. Sin embargo, en ese momento ya habrás sufrido phishing en Google Ads vía email.
La realidad es que otra persona tiene ahora toda tu información y tus datos. De hecho, pondrá en pausa tus campañas o una parte de ellas y colocará las suyas de bitcoins para generar tráfico. Todo con el objetivo de que éste también genere ingresos. Sin embargo, tú te darás cuenta meses más tarde.
Si multiplicas este caso práctico con cientos de anunciantes entenderás el negocio que hay detrás del phishing en Google Ads. Si en algún momento te encuentras en la situación en la que eres consciente de que tú no has realizado un cambio, podrías haber sido víctima del phishing en Google Ads.
Cómo detectar el phishing en Google Ads: Un caso práctico
Este es un claro ejemplo de un anuncio sospechoso por la manera en la que está redactado el título: «AdWords Ingresar España«. Sobre todo, porque Google Ads es el nuevo nombre de Adwords. Por lo tanto, cualquier persona que conozca este cambio debería darse cuenta, a la primera, de que algo va mal.
Además, el titular continúa con una traducción mal hecha del inglés. Parece un anuncio creado en bulk y traducido rápidamente para intentar conseguir tráfico en diferentes idiomas y países. Además, también resulta raro que no se haya utilizado el Path1 y Path2 del ETA (Extended Text Ad). Se desaprovecha esa parte del anuncio.
Errores ortográficos en anuncios
Una vez que te des cuenta de que el anuncio es sospechoso, es recomendable acceder a la URL de destino. En este caso, se ve que es un phishing en Google Ads porque hay un error ortográfico muy llamativo. Algo que puedes ver claramente en la imagen superior.
Pone Adwors en lugar de Adwords. Además, si echas un vistazo al código fuente encontrarás que lo que se ha hecho en este caso es copiar la web del login de cuentas de Google a través de una herramienta que hace un espejo de un sitio web determinado. En este caso, la aplicación que se utiliza es HTTrack Website Copier.
De hecho, el código te mostrará incluso la fecha en la que el HTML de la página web fue clonada en este intento de phishing. Nada más y nada menos que el 18 de marzo de 2018 a las 22:01.
Finalmente, si quisieras investigar un poco más acerca de la identidad del autor de este intento de phishing, podrías hacerlo. Lo ideal es que realizaras una consulta whois en el dominio detectado continue3fh13des.com. En este ejemplo concreto, se encuentra que el dominio se ha registrado desde Middlesex en UK. Y a pesar de que el nombre está protegido, se puede observar que el teléfono móvil es de UK por el prefijo.
8 señales de advertencia para combatir el phising
Los estafadores se están volviendo cada vez más sofisticados a la hora de lograr que sus sitios web parezcan legales. Es difícil estar seguro de que te han dirigido a un sitio de phishing. Sin embargo, hay algunos signos que podrías tener en cuenta para identificar el phishing en Google Ads.
- Comprueba la URL del sitio web. A menudo, la URL de un sitio de phishing parece ser correcta, pero contiene fallos en la ortografía o tiene un carácter/símbolo antes o después. Busca diferencias sutiles, como la sustitución del número «1» por la letra «l». Por ejemplo, www.1uno.com en lugar de www.luno.com.
- Antes de hacer clic en un anuncio de Google, asegúrate de que el nombre de la empresa en la URL debajo del encabezado del anuncio sea correcto.
- Cuidado con los pop-ups. Si vas a un sitio web que muestra inmediatamente una ventana emergente que solicita que ingreses tus datos de inicio de sesión es probable que se trate de un sitio de phishing.
- Apunta las formas utilizadas para indicar un sitio seguro no siempre es fiable. Por ejemplo, un icono de un candado cerrado a la izquierda de la URL no es necesariamente un signo fiable de un sitio web.
- Desconfía si un sitio web te pide detalles que, por lo general, no suele necesitar para iniciar sesión.
- Escanea el contenido del sitio web. A menudo, el contenido del sitio web puede contener errores tipográficos y errores gramaticales.
- Si tienes sospechoso, incluye una contraseña falsa. Si funciona y parece que has iniciado sesión, es probable que estés en un sitio de phishing.
- Utiliza un navegador o una extensión con detección anti-phishing que pueda ayudarte a detectar sitios de phishing. Sobre todo si sospechas de phishing en Google Ads.
Con todo, ¿necesitas la ayuda de un especialista que te oriente y ayude a gestionar tus campañas de Google Ads? En Antevenio hemos probado casi todas las soluciones de performance marketing para optimizar tus resultados.