Специалисты компании Lookout обнаружили оригинальную фишинговую кампанию, направленную на владельцев Android-устройств. Мошенники используют API Notifications и Push, чтобы маскировать вредоносные сообщения под уведомления от сторонних приложений.
Как рассказали исследователи, злоумышленники заманивают пользователей на свои страницы и просят разрешить отправку уведомлений. Если посетитель соглашается, на его устройстве появляется всплывающий баннер якобы от другого приложения. В разных случаях это может быть сообщение о якобы пропущенном звонке, уведомление с иконкой мессенджера Slack и проч.
Подмену можно заметить, если повнимательнее присмотреться к баннеру — там остаётся иконка браузера Chrome, который и отправляет уведомление на самом деле. Однако многие пользователи автоматически кликают по сообщению, которое переносит их на окно для ввода учётных данных. Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.
Вредоносное уведомление в верхней части страницы.
Эксперты отмечают, что iOS-пользователям эта угроза не страшна из-за разницы в работе push-уведомлений. Однако настольная версия Chrome оказалась уязвима перед атакой — она позволяет добавлять сторонние изображения во всплывающие уведомления, что можно использовать для обмана интернет-посетителей. В этом случае жертву атаки может смутить иконка браузера, но невнимательный пользователь может и не заметить её.
Вредоносное уведомление в настольном Chrome.
На руку преступникам играет и тот факт, что владельцы мобильных устройств в принципе более уязвимы перед фишинговыми атаками. Ранее те же специалисты Lookout подсчитали, что с 2011 года количество пользователей, поддавшихся на уловки мошенников, выросло почти вдвое. Это происходит из-за неудобства интерфейса, плохо читаемого текста, обилия элементов на небольшом экране устройства.
Кроме того, мобильные приложения зачастую не поддерживают защитные механизмы, которые традиционно применяются в настольных версиях программ. А специфические функции вроде автоматического скрытия адресной строки при прокрутке страницы упрощают злоумышленникам подмену легитимного URL на похожий.
Учитывая, что новая техника построена на легитимных API, защититься от неё пользователям поможет только собственная внимательность. Кроме того, посетителям интернет-сайтов стоит лишний раз подумать, прежде чем разрешить площадке отправлять всплывающие уведомления.