Wprowadzenie do problemu / definicja
Google rozszerza wykorzystanie modeli Gemini w celu wykrywania i blokowania złośliwych reklam jeszcze przed ich wyświetleniem użytkownikom. To odpowiedź na rosnący problem malvertisingu, czyli nadużywania ekosystemu reklamowego do dystrybucji phishingu, oszustw finansowych, fałszywych stron logowania oraz złośliwego oprogramowania.
Malvertising pozostaje szczególnie trudnym obszarem obrony, ponieważ cyberprzestępcy coraz częściej stosują techniki ukrywania treści, przekierowania, rotacyjną infrastrukturę oraz kampanie podszywające się pod znane marki. W praktyce oznacza to, iż szkodliwa reklama może wyglądać wiarygodnie, a mimo to prowadzić do przejęcia danych lub infekcji urządzenia.
W skrócie
- Google deklaruje, iż w 2025 roku zablokował lub usunął 8,3 mld reklam.
- Zawieszonych zostało 24,9 mln kont reklamodawców.
- Wśród działań egzekucyjnych znalazło się 602 mln reklam powiązanych z oszustwami.
- Gemini ma analizować sygnały ryzyka, wzorce zachowań kont oraz prawdopodobną intencję reklamodawcy.
- Celem jest przesunięcie wykrywania nadużyć jak najbliżej momentu przesłania reklamy do systemu.
Kontekst / historia
Złośliwe reklamy od lat są jednym z istotnych wektorów ataku w internecie. Atakujący kupują sponsorowane wyniki wyszukiwania i kreacje reklamowe, które imitują legalne serwisy, narzędzia bezpieczeństwa, platformy finansowe czy panele logowania. Użytkownik, widząc pozornie wiarygodną reklamę, może zostać przekierowany do witryny phishingowej, pobrać trojanizowany instalator albo paść ofiarą oszustwa inwestycyjnego.
Dotychczas ochrona w ekosystemie reklamowym opierała się głównie na analizie treści reklamy, reputacji domen, słów kluczowych oraz ręcznych zgłoszeniach. Wraz ze wzrostem skali nadużyć i automatyzacją działań po stronie przestępców takie podejście zaczęło jednak tracić skuteczność. Rozszerzenie wykorzystania Gemini pokazuje, iż obrona przesuwa się dziś w stronę analizy wielosygnałowej i oceny zachowań całych kampanii, a nie wyłącznie pojedynczych kreacji.
Analiza techniczna
Najważniejsza zmiana polega na odejściu od prostego modelu detekcji bazującego wyłącznie na statycznych cechach reklamy. Google wskazuje, iż Gemini analizuje miliardy sygnałów obejmujących historię konta, wzorce publikacji, relacje pomiędzy zasobami, zachowania reklamodawcy oraz prawdopodobną intencję działania. To ważne, ponieważ nowoczesne kampanie malvertisingowe rzadko ujawniają pełny ładunek złośliwy już na etapie zgłoszenia reklamy.
Cyberprzestępcy stosują dziś cloaking, czyli prezentowanie innych treści moderatorom, a innych użytkownikom końcowym. Wykorzystują także łańcuchy przekierowań, krótkotrwałe domeny, dynamicznie generowane strony docelowe i rozproszoną infrastrukturę. W takim modelu skuteczne wykrywanie musi opierać się na korelacji danych dotyczących kont, kreacji, metod płatności, historii naruszeń oraz powiązań infrastrukturalnych.
Google podkreśla również, iż generatywna AI jest wykorzystywana przez samych przestępców do tworzenia bardziej przekonujących kampanii phishingowych i oszustw opartych na podszywaniu się pod marki lub osoby publiczne. Odpowiedzią ma być automatyczna ocena reklam w czasie rzeczywistym oraz blokowanie szkodliwych treści jeszcze przed publikacją. Według firmy model ten jest już szeroko stosowany do oceny reklam typu Responsive Search Ads i ma być rozszerzany na kolejne formaty.
Istotną rolę przez cały czas odgrywa nadzór człowieka. AI może przyspieszać analizę zgłoszeń, grupować podobne incydenty i identyfikować kampanie powiązane ze sobą infrastrukturalnie, ale nie eliminuje potrzeby pracy analityków. Z perspektywy bezpieczeństwa najważniejsze jest jednak to, iż egzekwowanie zasad coraz częściej odbywa się na poziomie całego aktora zagrożenia, a nie tylko pojedynczej reklamy.
Konsekwencje / ryzyko
Szersze wykorzystanie Gemini może ograniczyć skalę phishingu i dystrybucji malware przez sieć reklamową, szczególnie tam, gdzie atakujący liczą na szybkie uruchamianie wielu wariantów kampanii. Dla użytkowników i organizacji oznacza to potencjalnie mniejszą ekspozycję na fałszywe strony logowania, reklamy zainfekowanych instalatorów i oszustwa finansowe.
Nie oznacza to jednak końca problemu. Przeciwnicy dostosują się do nowych mechanizmów obronnych, rozpraszając infrastrukturę, mieszając kampanie legalne z nielegalnymi, przejmując wiarygodne konta reklamowe albo korzystając z pośredników do ukrywania tożsamości. Dodatkowym wyzwaniem pozostaje ryzyko fałszywych alarmów i błędnych decyzji automatycznych systemów, choć Google deklaruje poprawę dokładności modeli i spadek liczby niesłusznych zawieszeń.
Dla firm zagrożenie ma także wymiar reputacyjny. Reklamy podszywające się pod markę mogą prowadzić do strat finansowych klientów, wzrostu liczby incydentów bezpieczeństwa i kosztów obsługi zgłoszeń. choćby jeżeli platforma szybciej usuwa nadużycia, krótki czas ekspozycji reklamy może wystarczyć, aby część użytkowników kliknęła w szkodliwy materiał.
Rekomendacje
Organizacje powinny traktować malvertising jako realny wektor początkowego dostępu i uwzględnić go w swoim modelu zagrożeń. W praktyce warto wdrożyć kilka działań operacyjnych i proceduralnych.
- Monitorować wyniki sponsorowane pod kątem nadużyć marki, zwłaszcza dla fraz związanych z logowaniem, pobieraniem oprogramowania, finansami i wsparciem klienta.
- Zabezpieczyć konta reklamowe oraz administracyjne silnym MFA odpornym na phishing i ograniczyć uprawnienia zgodnie z zasadą najmniejszych uprawnień.
- Korelować zgłoszenia użytkowników z telemetrią DNS, proxy, EDR i poczty, aby szybciej wykrywać wejścia na fałszywe strony z reklam sponsorowanych.
- Przygotować playbooki reagowania obejmujące fałszywe domeny, przejęcia kont, formularze phishingowe i złośliwe instalatory.
- Prowadzić stałą edukację użytkowników, przypominając, iż sponsorowany wynik wyszukiwania nie zawsze oznacza bezpieczne źródło.
Podsumowanie
Rozszerzenie wykorzystania Gemini do walki ze złośliwymi reklamami pokazuje, iż bezpieczeństwo reklamy cyfrowej wchodzi w nowy etap, w którym zarówno obrońcy, jak i atakujący korzystają z generatywnej AI. Google stawia na analizę wielosygnałową, ocenę intencji i blokowanie kampanii już na etapie ich przesyłania do systemu.
To istotny krok dla ograniczenia phishingu, oszustw i dystrybucji malware przez reklamy, ale nie jest to rozwiązanie kompletne. Najskuteczniejsza strategia po stronie organizacji przez cały czas wymaga połączenia ochrony platformowej, monitoringu nadużyć marki, silnych zabezpieczeń kont oraz regularnej edukacji użytkowników.
