Специалисты компании Lookout обнаружили оригинальную фишинговую кампанию, направленную на владельцев Android-устройств. Мошенники используют API Notifications и Push, чтобы маскировать вредоносные сообщения под уведомления от сторонних приложений.
Как рассказали исследователи, злоумышленники заманивают пользователей на свои страницы и просят разрешить отправку уведомлений. Если посетитель соглашается, на его устройстве появляется всплывающий баннер якобы от другого приложения. В разных случаях это может быть сообщение о якобы пропущенном звонке, уведомление с иконкой мессенджера Slack и проч.
Подмену можно заметить, если повнимательнее присмотреться к баннеру — там остаётся иконка браузера Chrome, который и отправляет уведомление на самом деле. Однако многие пользователи автоматически кликают по сообщению, которое переносит их на окно для ввода учётных данных. Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.
Вредоносное уведомление в верхней части страницы.
Эксперты отмечают, что iOS-пользователям эта угроза не страшна из-за разницы в работе push-уведомлений. Однако настольная версия Chrome оказалась уязвима перед атакой — она позволяет добавлять сторонние изображения во всплывающие уведомления, что можно использовать для обмана интернет-посетителей. В этом случае жертву атаки может смутить иконка браузера, но невнимательный пользователь может и не заметить её.
Вредоносное уведомление в настольном Chrome.
На руку преступникам играет и тот факт, что владельцы мобильных устройств в принципе более уязвимы перед фишинговыми атаками. Ранее те же специалисты Lookout подсчитали, что с 2011 года количество пользователей, поддавшихся на уловки мошенников, выросло почти вдвое. Это происходит из-за неудобства интерфейса, плохо читаемого текста, обилия элементов на небольшом экране устройства.
Кроме того, мобильные приложения зачастую не поддерживают защитные механизмы, которые традиционно применяются в настольных версиях программ. А специфические функции вроде автоматического скрытия адресной строки при прокрутке страницы упрощают злоумышленникам подмену легитимного URL на похожий.
Учитывая, что новая техника построена на легитимных API, защититься от неё пользователям поможет только собственная внимательность. Кроме того, посетителям интернет-сайтов стоит лишний раз подумать, прежде чем разрешить площадке отправлять всплывающие уведомления.
Комментарии (32)
DrunkBear
29.05.2019 16:50+8В который раз задумываюсь, что сайты, которые хотят посылать мне уведомления, нужно заносить в blacklist.
FTOH
30.05.2019 05:15+1Я на компьютере отключил уведомления в настройках браузера. Если нужны уведомления от определенного сайта, то нужно нажать на замочек, уведомления, разрешить.
YMA
30.05.2019 09:15Уведомления — на мой взгляд, какая-то священная корова интернет-маркетологов. Даже на тестах конкурса «Цифровой прорыв» им было уделено много внимания, и они преподносились, как лекарство от всех проблем продвижения. :) При этом в моем окружении я не знаю людей, которые бы ими пользовались…
PS: Кстати — мобильные приложения аналогично, каждая забегаловка, служба такси и парикмахерская навяливает установку своего приложения на мое устройство. Но извините, разводить зоопарк всякого разного кода у себя нет никакого желания. Предпочитаю пользоваться сайтами сервисов (тот же Яндекс.Такси), а приложения — только в очень отдельных случаях (банк, мессенджеры, соцсети).
corvair
29.05.2019 17:00+2Маме в последнее время стали приходить уведомления с кликбейтным текстом на тему медицинского шарлатанства и оккультно-религиозной ерунды. Видимо, мошенники имеют доступ к персональным данным абонентов, содержание уведомлений явно таргетировано по возрасту.
vedenin1980
29.05.2019 18:00+2содержание уведомлений явно таргетировано по возрасту
А может просто молодые сразу все эти уведомления прибивают на автомате и только до пожилых такой спам и доходит.
phobin
30.05.2019 10:55У них нет доступа к персональным данным кроме тех которые пользователь отдает сайту при входе (ip, user-agent). Просто они бьют по площадям и шлют то что больше всего конвертит пользователей.
Asya38
30.05.2019 10:55Скорее всего, мама просто сама искала что-то в интернете на медицинскую тематику перед этим.
namikiri
29.05.2019 17:08+5Вообще, Notifications API в том виде, в котором оно сейчас — зло. Пока не залезешь в настройки браузера и не отключишь запросы — каждый, буквально каждый сайт норовит подсунуть тебе порцию несвеженького. Да что там сайты — существуют целые сервисы, автоматизирующие надоедание пользователям. Некоторые научились мимикрировать под Chrome, и сначала показывают окошко, нарисованное на HTML, а потом уже сам браузер выводит запрос. Особенно забавно наблюдать за такими окошками, пользуясь Firefox.
На мой взгляд этот API должен быть по умолчанию отключен. И только если пользователь действительно хочет получать уведомления с сайтов — он зайдёт в настройки, включит, увидит предупреждение о назойливости, и лишь затем, понимая все риски, включит этот API.Pydeg
30.05.2019 02:37Да есть даже партнёрские сети, которые платят за активацию их уведомлений и недобросовестные владельцы сайтов так могут монетизировать трафик. Они ещё используют недочет в реализации (или спеке?) и редиректят пользователя по субдоменам, тем самым обходя отказ от уведомлений. Так что мимикрирование под диалог на HTML это ещё не самое страшное.
vladkorotnev
30.05.2019 04:25Помню, как разок на работе юзер залогинился в хроме в пейсбук и включил уведомления.
А потом погулял по новостным сайтам, и на всех тоже соглашался — не то по незнанию, не то ему реально в кайф было.
Естественно, надолго он на должности не задержался.
Пришёл новый сотрудник, пришло время комп чистить, и когда его включили, то начался ящик пандоры — как в широко известной в узких кругах игре, "я на секунду отвернулся и тут же получил кучу дерьма в лицо". Выключать комп от такого потока пришлось с кнопки принудительно, а дальше уже было проще раскатать свежий образ, чем пытаться лечить.
geisha
29.05.2019 17:19+3Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.
Пхах-кхе-кхе-кхе-кхе, простите: подавился попкорном.
TIMOHIUS
29.05.2019 18:15+1На многих сайтах, как заходишь, появляется окошко "чтобы продолжить нажмите согласиться" или что то вроде того. За такое бы руки отрывать...
rsashka
29.05.2019 22:14+2Я бы так же отрывал руки, когда сайт требует обязательно скачать приложение вместо обычного просмотра контента через браузер на мобильном устройстве.
HardWrMan
30.05.2019 07:59Это вообще жесть. Есть примеры, когда окно навязывания приложения занимает треть экрана и имеет крестик закрытия, но есть одно но: он такой мелкий, что попасть в него я могу только с мышки, подключенной через OTG, а пальцем попадаешь на пиксель левее-правее и это приводит к активации выделения текста вокруг. За такое надо ещё и лишать возможности заводить потомство, чтобы такие гады не размножались…
rsashka
29.05.2019 22:18Особенно радует в свете сообщений Банки начали заменять СМС для своих клиентов push-уведомлениями
TIMOHIUS
29.05.2019 23:37Переход банков на логины вместо мобильных номеров и на пули вместо смс-ок, а ещё развитие мобилиного клиента вместо вэб-а, просто поражает. Для меня например, это дико неудобно.
vladkorotnev
30.05.2019 04:26пули вместо смс-ок
Действительно, как-то не очень удобно. А если прилетит неудачно?
HardWrMan
30.05.2019 07:56Я не понял, это хромой уязвим или как? На моей мобилке работает FF, а хромой отключен в приложениях (но, правда, не удалён) за не надобностью.
koshi-dono
30.05.2019 09:19Это невнимательные пользователи в очередной раз оказались уязвимы к фишингу. Кто бы мог подумать.
nidalee
30.05.2019 09:32Никакой «уязвимости» как таковой не существует. Просто люди еще не привыкли к уведомлениям от сайтов. Теперь сообщения о «выигрыше денег» приходят не только в открытое окно браузера, но еще и в уведомления, с переменным успехом маскируясь даже под другие приложения.
HardWrMan
30.05.2019 10:32Вопрос был немного не корректный. Я про то, что от FF я таких случайных пушей не получал, точнее я вообще никаких на мобильном FF ещё ниразу не получал. А от хромого они идут по умолчанию? Вот в чём был изначальный мой вопрос.
pomd Автор
30.05.2019 10:58кампания, которую обнаружили ИБ-специалисты, построена на мобильном Chrome. этот же приём также точно работает на настольных Safari и Chrome, но эти браузеры вроде пока не использовались в атаках.
Barafu_Albino_Cheetah
В который раз задумываюсь: то есть, если я никогда не помню свои пароли и их подставляет password manager, то к фишингу я в принципе не уязвим.
p_fox
Предоставлять свои пароли сторонним людям и считать себя неуязвимым…
Странная логика.
dvrpd
Каким сторонним людям, если все пароли хранятся в обычном зашифрованном файле какого-нибудь KeePass?