При этом сами страницы сайтов не взламываются и не модифицируются — вместо этого схема использует рекламную инфраструктуру Google и особенности внутреннего поиска на сайте.
Механизм работает следующим образом: мошенники покупают рекламные объявления в поиске Google, где отображается реальный домен, например «https://support.apple.com». Но в ссылке на сайт после домена добавляются специальные параметры — строки, которые автоматически инициируют внутренний поиск на сайте по заранее заданной фразе. Обычно это выглядит как: «Call Us +1-805-749-2108 Apple Helpline» или аналогичная конструкция с другим брендом. При переходе по такому объявлению пользователь действительно попадает на подлинный сайт, но открывается страница с результатами поиска по фальшивому номеру.
Эта страница может не содержать никаких результатов — и чаще всего именно так и происходит. Однако сама формулировка, скопированная из параметров ссылки, сохраняется в строке поиска сайта и отображается на странице, что может ввести некоторых пользователей в заблуждение. Особенно если жертва не станет вглядываться в детали.
Сайт в этом случае не делает ничего подозрительного — он просто показывает результаты поиска, не фильтруя содержание запроса. Всё выглядит довольно примитивно, будто пользователь сам ввёл этот текст. Однако важный психологический момент — для невнимательных, пожилых или уставших пользователей визуального ощущения «официальности» может быть достаточно, чтобы поверить и набрать номер.
Дальнейшее развитие событий стандартно для схем с фальшивой техподдержкой: звонок приводит на линию к аферисту. Далее жертву убеждают в наличии срочной проблемы с её устройством, выманивают личные данные, пароли или доступ к компьютеру. Некоторые схемы направлены напрямую на хищение средств с банковских счетов или криптовалютных кошельков.
Компания Malwarebytes, обнаружившая это мошенничество, сообщила, что аналогичный способ использовался даже против их собственного сайта, пока не были внедрены фильтры, блокирующие выполнение подобных поисковых запросов. Авторы отмечают, что проблема не в уязвимости сайтов, а в логике: сайт просто выполняет поиск по введённой строке и честно показывает результат. Это и позволяет обману выглядеть убедительно, а системам защиты — никак на него не реагировать.
На данный момент мошенники используют только Google Ads. Рекламная платформа требует указывать подлинный домен, но позволяет добавлять произвольные параметры после адреса, и именно эта лазейка позволяет организовать атаку. Неизвестно, распространяется ли схема на другие рекламные сети, но ничто не мешает злоумышленникам использовать аналогичный подход в будущем.