小心！來自廣告的惡意！

現今，人們每天瀏覽著各種大大小小的網站取得資訊，而不難發現的是很多網站的周邊都被投放了各式各樣的廣告，為了向閱聽人推銷某種產品或是服務。這些看似正常的行銷行為，裡頭的廣告內容卻可能暗藏玄機，被植入了惡意軟體的廣告混雜在人們信賴的網站中，進而一步步威脅我們的資訊安全。

惡意廣告如何運作的？

惡意廣告的置入可分為：惡意軟體、傳播、資料庫、廣告四大元素。首先，攻擊者會利用各種方式將惡意軟體傳播到使用者裝置上，像是毒藥外包裹糖衣一般使人受騙，比如以簡訊方式傳遞中獎訊息，其後的網址是誘使使用者點擊已達到安裝惡意程式的目的；或是以彈跳式廣告偽裝成防毒軟體，以資訊安全為由騙取使用者下載防毒軟體，但所下載的是惡意程式。使用者的裝置被感染後，廣告商可以從資料庫選取相關廣告並投放給受害者，並從廣告觸及以及受害者的消費行為中獲取利潤。但廣告商本身也有可能是受害者，由於廠商大多只能知道流量最後是由哪些網站導入，而不知道整個流量的流向過程，所以廠商並不知道高流量是因為惡意廣告置入所產生。

而惡意廣告建構在現有的線上廣告當中，可能會出現在經常瀏覽的網站中，像是購物網站、新聞網站、社群媒體以及遊戲網站，我們看到的惡意廣告混雜在正常廣告中所以不容易察覺，在不經意的情況下誘導使用者點擊惡意廣告。

惡意廣告感染使用者裝置的方式主要有兩種：

1.點擊惡意廣告後，內含有重新導向的網址，會以彈出視窗或警告訊息的方式呈現，要求使用者點選指示內容，安裝惡意程式。

2.藉由偷渡式下載（Drive-by download）的方式，點擊惡意廣告網站網址立即感染。這類廣告當中含有專門掃瞄使用者系統漏洞的程式碼，可利用漏洞來促使系統下載惡意程式並將它執行，最後讓系統感染資料竊取程式。

來自廣告的惡意

2009年，《紐約時報》的網站遭到入侵而出現惡意廣告，當讀者在閱讀新聞時，畫面自動彈跳出裝置遭到病毒感染的訊息，藉此誘導閱聽人下載被載入惡意程式的防毒軟體。

2011及2016年時，Spotify免費版用戶遭到惡意廣告騷擾，而攻擊者就是利用免費版用戶會被強制推銷廣告的特點進行攻擊，一位受害者在接受BBC訪問時表示：「我並沒有點擊任何廣告，但惡意程式似乎在 Spotify 程序中彈出第一個廣告圖像的同時下載了，接著病毒開始在桌面上彈出。」此即是利用偷渡式下載的方式感染用戶裝置。

2020年5月到8月間，每天約有3萬台裝置遭到Adrozek攻擊。Adrozek，為一系列竄改瀏覽器的惡意軟體統稱。Adrozek會直接竄改瀏覽器的設定，並在搜尋結果的頁面當中安插未授權廣告，藉此進行點擊詐騙，此時攻擊者就可從點擊量從中獲得廣告收益。Adrozek的攻擊影響眾多瀏覽器，如Microsoft Edge、Google Chrome、Yandex Browser、Mozilla Firefox等都是被攻擊的對象。雖然此種惡意軟體主要的目的是藉由廣告的點擊率賺取廣告收益，但微軟指出，Adrozek的攻擊鏈涉及許多複雜行為，其中還加入認證竊取，表示攻擊者可以利用獲得的存取權限達成更多目的。