Пользователям Android угрожают ложные push-уведомления



    Специалисты компании Lookout обнаружили оригинальную фишинговую кампанию, направленную на владельцев Android-устройств. Мошенники используют API Notifications и Push, чтобы маскировать вредоносные сообщения под уведомления от сторонних приложений.

    Как рассказали исследователи, злоумышленники заманивают пользователей на свои страницы и просят разрешить отправку уведомлений. Если посетитель соглашается, на его устройстве появляется всплывающий баннер якобы от другого приложения. В разных случаях это может быть сообщение о якобы пропущенном звонке, уведомление с иконкой мессенджера Slack и проч.

    Подмену можно заметить, если повнимательнее присмотреться к баннеру — там остаётся иконка браузера Chrome, который и отправляет уведомление на самом деле. Однако многие пользователи автоматически кликают по сообщению, которое переносит их на окно для ввода учётных данных. Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.



    Вредоносное уведомление в верхней части страницы.

    Эксперты отмечают, что iOS-пользователям эта угроза не страшна из-за разницы в работе push-уведомлений. Однако настольная версия Chrome оказалась уязвима перед атакой — она позволяет добавлять сторонние изображения во всплывающие уведомления, что можно использовать для обмана интернет-посетителей. В этом случае жертву атаки может смутить иконка браузера, но невнимательный пользователь может и не заметить её.



    Вредоносное уведомление в настольном Chrome.

    На руку преступникам играет и тот факт, что владельцы мобильных устройств в принципе более уязвимы перед фишинговыми атаками. Ранее те же специалисты Lookout подсчитали, что с 2011 года количество пользователей, поддавшихся на уловки мошенников, выросло почти вдвое. Это происходит из-за неудобства интерфейса, плохо читаемого текста, обилия элементов на небольшом экране устройства.

    Кроме того, мобильные приложения зачастую не поддерживают защитные механизмы, которые традиционно применяются в настольных версиях программ. А специфические функции вроде автоматического скрытия адресной строки при прокрутке страницы упрощают злоумышленникам подмену легитимного URL на похожий.

    Учитывая, что новая техника построена на легитимных API, защититься от неё пользователям поможет только собственная внимательность. Кроме того, посетителям интернет-сайтов стоит лишний раз подумать, прежде чем разрешить площадке отправлять всплывающие уведомления.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 32

      +3

      В который раз задумываюсь: то есть, если я никогда не помню свои пароли и их подставляет password manager, то к фишингу я в принципе не уязвим.

        +1

        Предоставлять свои пароли сторонним людям и считать себя неуязвимым…
        Странная логика.

          +2
          Каким сторонним людям, если все пароли хранятся в обычном зашифрованном файле какого-нибудь KeePass?
        +8
        В который раз задумываюсь, что сайты, которые хотят посылать мне уведомления, нужно заносить в blacklist.
          0
          у меня ощущение, что сейчас это почти все сайты. не перестаю удивляться.
            +2

            Я на компьютере отключил уведомления в настройках браузера. Если нужны уведомления от определенного сайта, то нужно нажать на замочек, уведомления, разрешить.

              +1
              Уведомления — на мой взгляд, какая-то священная корова интернет-маркетологов. Даже на тестах конкурса «Цифровой прорыв» им было уделено много внимания, и они преподносились, как лекарство от всех проблем продвижения. :) При этом в моем окружении я не знаю людей, которые бы ими пользовались…

              PS: Кстати — мобильные приложения аналогично, каждая забегаловка, служба такси и парикмахерская навяливает установку своего приложения на мое устройство. Но извините, разводить зоопарк всякого разного кода у себя нет никакого желания. Предпочитаю пользоваться сайтами сервисов (тот же Яндекс.Такси), а приложения — только в очень отдельных случаях (банк, мессенджеры, соцсети).
              +2
              Маме в последнее время стали приходить уведомления с кликбейтным текстом на тему медицинского шарлатанства и оккультно-религиозной ерунды. Видимо, мошенники имеют доступ к персональным данным абонентов, содержание уведомлений явно таргетировано по возрасту.
                +2
                содержание уведомлений явно таргетировано по возрасту

                А может просто молодые сразу все эти уведомления прибивают на автомате и только до пожилых такой спам и доходит.
                  0

                  Проверьте настройки уведомлений. Она могла случайно подписаться.

                    0
                    У них нет доступа к персональным данным кроме тех которые пользователь отдает сайту при входе (ip, user-agent). Просто они бьют по площадям и шлют то что больше всего конвертит пользователей.
                      0
                      Скорее всего, мама просто сама искала что-то в интернете на медицинскую тематику перед этим.
                      +5
                      Вообще, Notifications API в том виде, в котором оно сейчас — зло. Пока не залезешь в настройки браузера и не отключишь запросы — каждый, буквально каждый сайт норовит подсунуть тебе порцию несвеженького. Да что там сайты — существуют целые сервисы, автоматизирующие надоедание пользователям. Некоторые научились мимикрировать под Chrome, и сначала показывают окошко, нарисованное на HTML, а потом уже сам браузер выводит запрос. Особенно забавно наблюдать за такими окошками, пользуясь Firefox.

                      На мой взгляд этот API должен быть по умолчанию отключен. И только если пользователь действительно хочет получать уведомления с сайтов — он зайдёт в настройки, включит, увидит предупреждение о назойливости, и лишь затем, понимая все риски, включит этот API.
                        0

                        Да есть даже партнёрские сети, которые платят за активацию их уведомлений и недобросовестные владельцы сайтов так могут монетизировать трафик. Они ещё используют недочет в реализации (или спеке?) и редиректят пользователя по субдоменам, тем самым обходя отказ от уведомлений. Так что мимикрирование под диалог на HTML это ещё не самое страшное.

                          0

                          Помню, как разок на работе юзер залогинился в хроме в пейсбук и включил уведомления.
                          А потом погулял по новостным сайтам, и на всех тоже соглашался — не то по незнанию, не то ему реально в кайф было.
                          Естественно, надолго он на должности не задержался.
                          Пришёл новый сотрудник, пришло время комп чистить, и когда его включили, то начался ящик пандоры — как в широко известной в узких кругах игре, "я на секунду отвернулся и тут же получил кучу дерьма в лицо". Выключать комп от такого потока пришлось с кнопки принудительно, а дальше уже было проще раскатать свежий образ, чем пытаться лечить.

                            0

                            И это все из-за уведомлений? Увольнение, перестановка системы...

                          +4
                          Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.

                          Пхах-кхе-кхе-кхе-кхе, простите: подавился попкорном.

                            +1

                            Налоговый вычет вполне реален.

                              0
                              Прямые дотации и купоны тоже, судя по английскому тексту на скриншотах — это для англоговорящих.
                            +1

                            На многих сайтах, как заходишь, появляется окошко "чтобы продолжить нажмите согласиться" или что то вроде того. За такое бы руки отрывать...

                                +3
                                Я бы так же отрывал руки, когда сайт требует обязательно скачать приложение вместо обычного просмотра контента через браузер на мобильном устройстве.
                                  0
                                  Это вообще жесть. Есть примеры, когда окно навязывания приложения занимает треть экрана и имеет крестик закрытия, но есть одно но: он такой мелкий, что попасть в него я могу только с мышки, подключенной через OTG, а пальцем попадаешь на пиксель левее-правее и это приводит к активации выделения текста вокруг. За такое надо ещё и лишать возможности заводить потомство, чтобы такие гады не размножались…
                                0
                                  0

                                  Переход банков на логины вместо мобильных номеров и на пули вместо смс-ок, а ещё развитие мобилиного клиента вместо вэб-а, просто поражает. Для меня например, это дико неудобно.

                                    0
                                    пули вместо смс-ок

                                    Действительно, как-то не очень удобно. А если прилетит неудачно?

                                  –1
                                  Я не понял, это хромой уязвим или как? На моей мобилке работает FF, а хромой отключен в приложениях (но, правда, не удалён) за не надобностью.
                                    0

                                    Это невнимательные пользователи в очередной раз оказались уязвимы к фишингу. Кто бы мог подумать.

                                      0
                                      Никакой «уязвимости» как таковой не существует. Просто люди еще не привыкли к уведомлениям от сайтов. Теперь сообщения о «выигрыше денег» приходят не только в открытое окно браузера, но еще и в уведомления, с переменным успехом маскируясь даже под другие приложения.
                                        0
                                        Вопрос был немного не корректный. Я про то, что от FF я таких случайных пушей не получал, точнее я вообще никаких на мобильном FF ещё ниразу не получал. А от хромого они идут по умолчанию? Вот в чём был изначальный мой вопрос.
                                          0
                                          кампания, которую обнаружили ИБ-специалисты, построена на мобильном Chrome. этот же приём также точно работает на настольных Safari и Chrome, но эти браузеры вроде пока не использовались в атаках.
                                            0
                                            Нет, их надо сначала включить, специально или случайно ответить «да».

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое