Google Ads i phishing na ManageWP. Reklama w wyszukiwarce nie jest dowodem zaufania

2026-05-07

TL;DR

BleepingComputer opisał kampanię, w której przestępcy wykorzystali sponsorowane wyniki Google do phishingu na logowanie ManageWP. To platforma GoDaddy służąca do zarządzania wieloma stronami WordPress z jednego panelu. Korzystają z niej administratorzy, freelancerzy, agencje webowe i zespoły IT, które opiekują się większą liczbą witryn.

W tej kampanii użytkownik nie zaczynał od podejrzanego maila. Sam wpisywał w Google nazwę znanego narzędzia, chciał szybko wejść do panelu i mógł kliknąć reklamę widoczną nad prawdziwym wynikiem. Dalej trafiał na stronę wyglądającą jak logowanie ManageWP.

Najważniejsza lekcja jest prosta: reklama w wyszukiwarce nie jest dowodem zaufania. To płatne miejsce w interfejsie, które również może zostać nadużyte. Przy kontach administracyjnych stawka jest szczególnie wysoka, bo jedno przejęte konto może oznaczać dostęp do wielu stron klientów, sklepów, landing page’y i środowisk produkcyjnych.

O co chodzi w kampanii na ManageWP

ManageWP to wygodne narzędzie. Zamiast logować się osobno do każdego panelu WordPress, administrator może zarządzać wieloma stronami z jednego miejsca. Może wykonywać aktualizacje, sprawdzać status witryn, pracować z kopiami zapasowymi i obsługiwać strony klientów.

Ta wygoda ma jednak drugą stronę. Dla atakującego taki panel jest bardzo atrakcyjnym celem. Przejęcie zwykłego konta często daje dostęp do jednego zasobu. Przejęcie konta osoby zarządzającej flotą stron może dać punkt startowy do wielu środowisk naraz.

Według BleepingComputer przestępcy wykorzystali sponsorowany wynik Google dla zapytań związanych z ManageWP. Użytkownik, który szukał strony logowania, mógł zobaczyć reklamę nad właściwym wynikiem wyszukiwania i kliknąć ją z przyzwyczajenia. Dalej trafiał na fałszywy panel logowania.

To jest klasyczny błąd zaufania do ścieżki. Człowiek nie dostaje podejrzanej wiadomości. Nie otwiera załącznika od nieznanego nadawcy. Robi coś, co wydaje się bezpieczne: sam szuka znanej usługi w Google.

Jeżeli chcesz uporządkować podstawy samego mechanizmu, zobacz też materiał wyjaśniający, czym jest phishing i dlaczego opiera się na zaufaniu użytkownika.

Dlaczego reklama w Google działa jako przynęta

Wielu użytkowników nauczyło się uważać na podejrzane maile, dziwne załączniki i literówki w domenach. Znacznie mniej osób traktuje wynik wyszukiwania jako możliwy element ataku.

Reklama w Google korzysta z kilku prostych mechanizmów psychologicznych. Po pierwsze, użytkownik sam rozpoczął akcję. Nie reaguje na wiadomość od obcej osoby, tylko szuka czegoś, czego potrzebuje. Po drugie, reklama pojawia się w znanym interfejsie wyszukiwarki. Po trzecie, pośpiech robi swoje. Administrator, który chce szybko wejść do panelu, nie zawsze zatrzyma się nad adresem strony.

To szczególnie niebezpieczne przy zapytaniach typu managewp login, panel managewp, wordpress admin, hosting login, download, support albo billing. Właśnie wtedy użytkownik często nie szuka informacji. Szuka skrótu do działania.

Guardio Labs opisywało wcześniej podobny model nadużywania Google Ads. Guardio Labs to zespół badawczy firmy bezpieczeństwa, który analizuje kampanie phishingowe, złośliwe reklamy i nadużycia w przeglądarkach. W ich materiałach pojawia się między innymi cloaking, czyli technika pokazywania różnych treści różnym odbiorcom. Inaczej może wyglądać strona dla ofiary, inaczej dla systemu kontroli, a jeszcze inaczej dla badacza, który wejdzie spoza właściwego kontekstu.

To pokazuje, że problem nie kończy się na jednej fałszywej domenie. Liczy się cały przepływ: reklama, kliknięcie, przekierowanie, strona logowania, przechwycenie danych i szybka próba wejścia na prawdziwe konto.

AiTM zmienia znaczenie kodu 2FA

W opisywanej kampanii szczególnie ważny jest model AiTM. To skrót od adversary-in-the-middle. Po polsku można powiedzieć: atakujący staje pośrodku.

W praktyce wygląda to tak: użytkownik widzi fałszywą stronę logowania, ale ta strona nie tylko zapisuje login i hasło. Może pośredniczyć między ofiarą a prawdziwą usługą w czasie rzeczywistym. Użytkownik wpisuje dane, potem kod 2FA, czyli drugi składnik logowania, a atakujący próbuje od razu wykorzystać te informacje po swojej stronie.

Dla użytkownika wszystko może wyglądać normalnie. Strona prosi o hasło, potem o kod. Skoro usługa zwykle wymaga 2FA, nie musi to wzbudzić podejrzeń. Problem polega na tym, że kod może zostać użyty natychmiast, zanim straci ważność.

Dlatego samo zdanie mamy MFA nie zamyka dziś tematu phishingu. MFA nadal jest potrzebne, ale jego skuteczność zależy od wariantu, konfiguracji i kontroli tego, co dzieje się z sesją po zalogowaniu.

Ten sam problem opisujemy szerzej w materiale o phishingu omijającym MFA w modelu AiTM oraz w tekście o tym, jak fałszywe sprawy HR i compliance mogą prowadzić do przejęcia sesji.

Jak rozpoznać fałszywy wynik reklamowy

Nie każda reklama jest zła. To oczywiste. Problem polega na tym, że przy panelach administracyjnych nie warto traktować reklamy jako skrótu do logowania.

Kilka sygnałów powinno zapalić lampkę ostrzegawczą. Reklama pojawia się nad właściwym wynikiem, ale domena nie pasuje idealnie do usługi. Po kliknięciu widać przekierowanie. Strona wygląda znajomo, ale adres w pasku przeglądarki różni się od prawdziwego. Menedżer haseł nie podpowiada loginu, choć zwykle robił to automatycznie. Po wpisaniu hasła pojawia się nietypowy ekran 2FA albo komunikat, którego wcześniej nie było.

Szczególnie ważny jest menedżer haseł. Jeśli korzystasz z niego poprawnie, często działa jak dodatkowy bezpiecznik. Menedżer haseł przypisuje dane logowania do konkretnej domeny. Jeśli jesteś na fałszywej stronie, może nie podpowiedzieć loginu i hasła. To nie zastępuje ostrożności, ale bywa bardzo dobrym sygnałem ostrzegawczym.

Najbezpieczniejsza zasada jest prosta: do ważnych paneli nie wchodzimy przez reklamę. Wchodzimy przez zapisaną zakładkę, menedżer haseł, firmowy portal albo dokumentację IT.

Dlaczego administratorzy WordPress są atrakcyjnym celem

WordPress jest popularny, a popularność zawsze przyciąga przestępców. W tym przypadku nie chodzi jednak tylko o sam system WordPress. Chodzi o koncentrację dostępu.

Agencja webowa może obsługiwać dziesiątki albo setki stron klientów. Freelancer może utrzymywać sklepy, strony usługowe, blogi i landing page’e kilku firm. Dział marketingu może mieć dostęp do WordPressa, narzędzi SEO, kont reklamowych, formularzy leadowych i skryptów analitycznych. Administrator techniczny może mieć dostęp nie tylko do treści, ale też do wtyczek, kopii zapasowych, kont pocztowych, integracji płatniczych i konfiguracji domen.

Przejęcie takiego konta może skutkować czymś więcej niż zmianą tekstu na stronie. W grę wchodzą złośliwe przekierowania, podmiana formularzy, kradzież danych kontaktowych, dodanie fałszywych stron logowania, SEO spam, wstrzyknięcie skryptów albo wykorzystanie zaufanej domeny klienta do kolejnych kampanii phishingowych.

GoDaddy w swoim rocznym raporcie o zagrożeniach dla stron internetowych opisuje szeroki kontekst malware, złośliwych przekierowań, SEO spamu i kradzieży danych administracyjnych. To dobrze pokazuje, że phishing na panel zarządzania stronami nie jest drobnym problemem jednego użytkownika. Może szybko stać się problemem infrastrukturalnym.

Polski kontekst: reklamy też były już wektorem oszustw

Ten scenariusz nie jest odległą ciekawostką. CERT Polska, czyli polski zespół reagowania na incydenty działający w strukturach NASK, ostrzegał już przed kampaniami, w których przestępcy wykorzystywali Google Ads do promowania fałszywych stron w wynikach wyszukiwania. Wtedy chodziło między innymi o podszywanie się pod producentów oprogramowania i nakłanianie użytkowników do pobrania złośliwych plików.

Mechanizm jest podobny. Użytkownik ufa temu, że wynik jest wysoko. Widzi znaną nazwę produktu. Wykonuje rutynową czynność. W jednym wariancie pobiera złośliwy instalator. W innym wpisuje dane logowania do panelu. W obu przypadkach atakujący korzysta z tego samego źródła przewagi: zaufania do wyszukiwarki i rozpoznawalnej marki.

Warto zestawić to z innymi przykładami nadużywania legalnych platform. Opisywaliśmy już, jak GitHub i Jira mogą stać się nośnikiem phishingu przez legalne powiadomienia SaaS oraz jak n8n może zostać wykorzystany jako cichy nośnik phishingu i malware. Wspólny mianownik jest ten sam: coraz częściej problemem nie jest pojedyncza fałszywa wiadomość, ale nadużycie procesu, któremu użytkownik ufa.

Co zrobić, jeśli zalogowałeś się przez fałszywy wynik Google

W takim scenariuszu liczy się czas. Nie warto czekać, aż pojawią się widoczne szkody.

Najpierw trzeba wejść na prawdziwą stronę usługi znaną, sprawdzoną ścieżką i natychmiast zmienić hasło. Potem należy unieważnić aktywne sesje, sprawdzić ustawienia 2FA i upewnić się, że nie dodano nowych urządzeń, metod logowania ani nieznanych kont.

W przypadku ManageWP, WordPressa i paneli hostingowych trzeba pójść dalej. Warto sprawdzić listę stron podpiętych do konta, nowych użytkowników administracyjnych, zmiany wtyczek, motywów i plików, nietypowe przekierowania, nowe skrypty, zmiany DNS oraz integracje z formularzami, płatnościami i systemami analitycznymi.

Jeśli konto należało do agencji albo freelancera obsługującego klientów, trzeba potraktować sprawę jako potencjalny incydent obejmujący więcej niż jedną stronę. To moment na przegląd logów, kopii zapasowych i poinformowanie osób odpowiedzialnych za bezpieczeństwo po stronie klientów.

Co powinny zrobić firmy, agencje i administratorzy

1. Nie logować się do paneli administracyjnych przez reklamy

Dla krytycznych paneli warto przyjąć prostą zasadę: nie wchodzimy przez reklamy ani przypadkowe wyniki wyszukiwania. Adresy do paneli administracyjnych powinny być zapisane w menedżerze haseł, firmowym portalu, dokumentacji IT albo zakładkach zarządzanych centralnie.

2. Traktować konta ManageWP, hostingowe i WordPress jak dostęp uprzywilejowany

Konto do panelu zarządzającego stronami klientów nie jest zwykłym kontem użytkownika. Powinno mieć silne MFA, ograniczenie dostępu według ról, regularny przegląd uprawnień, osobne konta imienne i dobrą procedurę odebrania dostępu po zakończeniu współpracy.

3. Monitorować logowania i zmiany na stronach

Po przejęciu konta atakujący może działać szybko. Dlatego sama prewencja nie wystarczy. Potrzebne są alerty dotyczące nowych logowań, zmian wtyczek, dodania administratora, modyfikacji plików, nietypowych przekierowań, nowych skryptów i zmian DNS.

4. Uczyć pracowników, że reklama nie oznacza bezpieczeństwa

To powinien być osobny element security awareness. Pracownik musi wiedzieć, że sponsorowany wynik w Google nie jest rekomendacją bezpieczeństwa. To płatny element interfejsu, który może zostać nadużyty. Szczególnie ryzykowne są wyszukiwania typu nazwa usługi plus login, panel, download, support albo billing.

5. Ćwiczyć scenariusze dla ról administracyjnych

Standardowa symulacja phishingowa często zakłada zwykłego użytkownika biurowego. Administratorzy WordPress, marketing automation, reklam, CRM i stron WWW mają inny profil ryzyka. Dla nich warto projektować scenariusze obejmujące logowanie do panelu, fałszywy alert o domenie, rzekomą aktualizację wtyczki, prośbę klienta o pilną zmianę DNS albo fałszywe powiadomienie z narzędzia SaaS.

Jak wykorzystać ten case w programie awareness

Ten przypadek dobrze nadaje się do krótkiego ćwiczenia dla osób, które pracują z panelami webowymi, marketingiem i utrzymaniem stron. Nie chodzi o straszenie Google Ads. Chodzi o zmianę nawyku: dla ważnych narzędzi nie szukamy strony logowania za każdym razem od nowa, tylko korzystamy ze sprawdzonej ścieżki.

W praktyce można zbudować ćwiczenie wokół pytania: skąd użytkownik bierze adres do panelu, kiedy się spieszy?

Jeżeli odpowiedź brzmi wpisuję nazwę w Google i klikam pierwszy wynik, to jest to realny punkt ryzyka. Właśnie takie małe nawyki decydują o tym, czy atak oparty na reklamie ma szansę powodzenia.

Dobrym uzupełnieniem takiego szkolenia może być krótki test rozpoznawania phishingu. Możesz wykorzystać do tego firmowy materiał edukacyjny albo publiczny quiz PHISHLY: czy rozpoznasz phishing, zanim klikniesz.

Najważniejsza lekcja dla administratorów i agencji

Phishing na ManageWP przez Google Ads pokazuje, że nowoczesny atak coraz częściej zaczyna się w miejscu, które użytkownik uważa za bezpieczne. Nie w podejrzanym mailu, nie w załączniku od nieznanego nadawcy, ale w wyszukiwarce, podczas rutynowego logowania do narzędzia pracy.

Dla firm, agencji webowych i administratorów WordPress to ważny sygnał. Konta do paneli zarządzających stronami powinny być traktowane jak dostęp wysokiego ryzyka. Reklamy i wyniki wyszukiwania nie mogą być domyślną ścieżką logowania. MFA musi być uzupełnione monitoringiem sesji i zmian. A program awareness powinien obejmować nie tylko klasyczny mail phishingowy, ale też scenariusze, w których atakujący nadużywa legalnej reklamy, znanej marki i rutynowego procesu pracy.

Jeżeli chcesz przełożyć takie scenariusze na praktyczny trening dla pracowników i administratorów, zobacz, jak PHISHLY pomaga budować mierzalną odporność cyfrową przez symulacje, edukację i analizę zachowań użytkowników.