谷歌廣告漏洞被利用3年：1.5億用戶點擊了假認證

2024年2月，安全研究人員公布了一個代號"1Campaign"的犯罪基礎設施。這個系統專門幫黑客繞過谷歌的廣告審核，把惡意廣告包裝成正規品牌的樣子。三年時間里，超過1.5億次點擊流向了這些假廣告。

攻擊手法并不復雜。黑客先注冊一個看起來合法的域名，提交廣告時展示正常內容。谷歌審核通過后，他們再切換頁面——把用戶重定向到釣魚網站或惡意軟件下載頁。這種" cloaking "（斗篷技術）讓平臺審核機制和實際用戶看到完全不同的東西。

更麻煩的是責任歸屬。營銷團隊買了廣告位，安全團隊監控網絡流量，但沒人專門盯著"廣告本身是不是被調包了"。Fraud Blocker的創始人Brian Hahn打了個比方：這就像你租了商場最好的櫥窗位置，結果有人半夜把你的展品換成假貨，而保安和商場管理方都沒發現鎖被撬了。

廣告棧正在成為企業最隱蔽的入口

傳統安全架構假設威脅來自郵件附件、釣魚鏈接或漏洞利用。但1Campaign暴露了一個盲區：營銷技術棧（MarTech Stack）本身就是攻擊面。企業每年在數字廣告上投入數千億美元，這些預算流向的每一個環節——需求方平臺（DSP）、廣告交易平臺、供應方平臺（SSP）——都可能被滲透。

2023年，FBI曾警告稱"惡意廣告"（Malvertising）正在針對企業軟件。攻擊者購買關鍵詞，當員工搜索"Slack下載"或"Zoom客戶端"時，頂部 sponsored result 可能是帶木馬的安裝包。員工以為是官方渠道，IT部門也沒收到告警，因為流量確實來自谷歌域名。

這種攻擊的隱蔽性在于"信任鏈劫持"。企業防火墻不會攔截谷歌廣告，終端安全軟件通常把瀏覽器訪問標記為正常用戶行為。攻擊者 essentially 花幾百美元廣告費，就買到了繞過多層防御的通道。

為什么安全團隊和營銷團隊互相看不見

組織架構是核心問題。CMO 管預算和投放，CISO 管風險和響應，兩個部門的KPI幾乎不交叉。營銷團隊關注點擊率（CTR）和轉化成本，安全團隊關注漏洞和入侵指標（IoC）。當假廣告帶來惡意流量時，營銷側看到的是"這次 campaign 效果一般"，安全側看到的是"終端出現了未知來源的惡意軟件"。

1Campaign的運營者甚至提供了"售后服務"——幫客戶管理廣告賬戶、優化投放策略、處理谷歌的合規詢問。這降低了犯罪門檻：不需要技術背景，只要付錢就能發起定向攻擊。研究人員發現，該服務至少服務了數百個獨立客戶，覆蓋金融、科技、電商等多個行業。

谷歌的應對顯得被動。平臺依賴自動化審核和事后舉報，但斗篷技術專門設計來欺騙自動化系統。2023年下半年，谷歌起訴了幾個廣告欺詐團伙，但訴訟周期以年計，而新的攻擊基礎設施幾天就能搭建完成。

把廣告安全納入零信任架構

一些企業開始調整策略。不再是"買了廣告就不管"，而是把廣告創意、落地頁域名、跳轉鏈路納入安全監控。具體做法包括：對營銷使用的域名做持續掃描，檢查是否被克隆或濫用；在廣告點擊到落地頁之間插入驗證層，確認內容一致性；和安全廠商共享威脅情報，識別已知的惡意廣告模式。

更激進的方案是重構采購流程。部分公司要求廣告供應商提供安全審計報告，把"廣告欺詐防護"寫進合同條款。這相當于把供應鏈安全的做法向上游延伸——不只是審查代碼供應商，也審查流量供應商。

但成本是現實障礙。中小企業依賴自助廣告平臺，沒有資源做深度審核。而平臺方的激勵機制偏向放量而非安全：更多廣告、更多點擊、更多收入。除非監管強制或重大事故倒逼，這種結構性張力很難緩解。

1Campaign被披露后，研究人員注意到一個細節：該服務的定價表顯示，針對"企業軟件"類別的廣告位收費最高，比電商或游戲高出40%。攻擊者很清楚，一個被入侵的企業員工賬號，在黑市上的價值遠超普通消費者數據。當營銷預算和安全預算還在不同報表里，攻擊者已經找到了把它們連起來的公式。

你的公司上次檢查廣告落地頁的安全狀態，是什么時候？