假冒Semrush广告盯上SEO从业者，钓鱼网站专偷谷歌账号

Meise

最近搞SEO的小伙伴要当心了！安全公司Malwarebytes发现，黑客正在用假冒的Semrush谷歌广告钓你的谷歌账号。Semrush可是全球40%世界500强都在用的SEO神器，不少人用它关联了谷歌分析（GA）和搜索控制台（GSC），这下黑产团伙盯上这块肥肉了。

钓鱼广告怎么玩？

搜索页埋雷：黑客买下“Semrush”相关的谷歌广告关键词，你一搜就跳出带“semrush.click”“semrush-pro.co”等山寨域名的推广链接。这些域名和正版semrush.com长得像双胞胎，稍不留神就中招。

强制谷歌登录：点进假网站后，页面看着和Semrush官网一模一样，但只让用“谷歌账号登录”。你一输密码，数据秒传黑客服务器。

数据连环劫：拿到谷歌账号后，黑客能直接看你的GA收入数据、营销策略，甚至用账号开新广告继续骗人。SEO专家Elie Berreby分析，这波攻击来自巴西专业团伙，专挑SaaS平台下手，玩的是“偷账号-开新广告-再钓鱼”的连环套。

谷歌的防贼难题
虽然谷歌这次反应快，接到举报立马删了问题广告，但治标不治本。Berreby吐槽：“我和谷歌客服聊过N次，他们都说‘我就是个螺丝钉’——底层员工没权限改系统规则。” 今年1月就有类似攻击用谷歌自家网站（sites.google.com）挂钓鱼页，到现在套路升级，黑产反而越打越精。

三招保平安

广告链接别乱点：看到“赞助商”标签的搜索结果，能躲就躲。直接收藏常用网站，手动输入域名最保险。

密码管家来救场：用1Password这类工具自动填密码，要是遇到假网站，密码管家根本不会弹窗，立马露馅。

双重验证必须开：就算密码被偷，黑客也难突破手机验证码。谷歌去年还给电脑版密码管理器加了指纹解锁，赶紧用起来。

背后黑产有多狂？
这可不是小打小闹——去年就有黑客用谷歌云服务器挖矿、发勒索软件，甚至刷YouTube播放量8。如今黑产连LinkedIn招聘都能伪造，假借三星名义发带毒PDF，专黑安全公司员工。SEO圈的朋友们，保护账号就是在保护甲方爸爸的钞票啊！