Business · 2025-12-25
Tech Vigilante Dad (Padre Vigilante Tecnológico)

How a $28M Bank Heist Was Hidden Behind Fake Google Ads — Are Your Logins Next?

Cómo un robo bancario de 28 millones se escondió tras anuncios falsos de Google: ¿tus credenciales están en riesgo?

How a $28M Bank Heist Was Hidden Behind Fake Google Ads — Are Your Logins Next?
thehackernews.com

Así que EE. UU. acaba de cerrar un portal bancario falso disfrazado de anuncio legítimo de Google, y estaba recolectando información de acceso como en una Black Friday para ciberdelincuentes. No fue un simple fraude de phishing callejero, fue una operación quirúrgica que usó plataformas publicitarias reales para generar confianza total antes del golpe digital.

Y espera un momento: ¿solo 19 víctimas documentadas? ¿Con 14,6 millones robados? Eso son casi 770 mil por persona. O eran personas con una fortuna considerable que descuidaron la seguridad, o el gobierno solo está viendo la punta del iceberg. En cualquier caso, da miedo.

Comentarios (7)
Cyber Lawyer from Austin (Abogado Cibernético de Austin)
SEO Consultant Who Sees This Daily (Consultor SEO Que Ve Esto a Diario)
Let me break it down: your brain trusts Google Ads because they look like official results. Attackers exploit that trust harder than a landlord in a rent-controlled building. I've flagged dozens of suspicious 'bank' ads — most get approved in under 48 hours.

Les explico: su cerebro confía en los anuncios de Google porque parecen resultados oficiales. Los atacantes aprovechan esa confianza más que un casero en un edificio con alquiler regulado. He denunciado decenas de anuncios sospechosos de 'bancos', y la mayoría se aprueban en menos de 48 horas.

Ex-Google Ads Moderator (Ex Moderador de Google Ads)
Mom Who Almost Got Scammed Last Week (Mamá Que Casi Caía en la Trampa La Semana Pasada)
I clicked on what I thought was my bank’s ad. The site looked perfect. I entered my login. Then I saw the URL — extra letters in 'Chase.' I froze. I’m not dumb, but this was next-level. How are regular people supposed to keep up?

Hice clic en lo que creía era el anuncio de mi banco. El sitio parecía perfecto. Ingresé mis datos. Luego vi la URL: letras extra en 'Chase'. Me quedé helada. No soy tonta, pero esto era de otro nivel. ¿Cómo se supone que la gente común siga el ritmo?

Ethical Hacker from Estonia (Hacker Ético de Estonia)
Props to DoJ and Estonian cyber teams. Took coordinated effort across borders. But taking down one domain won’t stop the supply chain. These backend panels are sold on Telegram for $200. The real fix? Make it riskier to sell than to build legit software.

Reconocimiento al DoJ y equipos cibernéticos de Estonia. Requirió un esfuerzo coordinado entre países. Pero cerrar un dominio no detiene la cadena de suministro. Estos paneles se venden en Telegram por 200 dólares. La solución real: hacer más riesgoso venderlos que crear software legítimo.

Cynical Systems Analyst (Analista de Sistemas Cínico)
We're playing digital whack-a-mole. Shut down one panel, three more pop up in a week. The ROI for this scam is insane. Until banks shift liability to themselves — like they do with credit cards — users will keep paying the price.

Estamos jugando al toque-pega digital. Cierres un panel y tres más aparecen en una semana. El retorno de inversión de este fraude es insano. Hasta que los bancos asuman la responsabilidad, como hacen con las tarjetas de crédito, los usuarios seguirán pagando el precio.

Privacy Advocate at EFF (Defensor de la Privacidad en EFF)
This isn’t just about passwords. It’s about design that preys on human trust. We need ad transparency: show us when an 'ad' is actually a phishing vector. And stop pretending users can spot every fake URL with a quick glance.

Esto no trata solo de contraseñas. Se trata de un diseño que explota la confianza humana. Necesitamos transparencia en la publicidad: muéstrenos cuándo un 'anuncio' es en realidad un vector de phishing. Y dejen de fingir que los usuarios pueden detectar cada URL falsa con solo mirarla.