Специалисты компании Lookout обнаружили оригинальную фишинговую кампанию, направленную на владельцев Android-устройств. Мошенники используют API Notifications и Push, чтобы маскировать вредоносные сообщения под уведомления от сторонних приложений.

Как рассказали исследователи, злоумышленники заманивают пользователей на свои страницы и просят разрешить отправку уведомлений. Если посетитель соглашается, на его устройстве появляется всплывающий баннер якобы от другого приложения. В разных случаях это может быть сообщение о якобы пропущенном звонке, уведомление с иконкой мессенджера Slack и проч.

Подмену можно заметить, если повнимательнее присмотреться к баннеру — там остаётся иконка браузера Chrome, который и отправляет уведомление на самом деле. Однако многие пользователи автоматически кликают по сообщению, которое переносит их на окно для ввода учётных данных. Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.



Вредоносное уведомление в верхней части страницы.

Эксперты отмечают, что iOS-пользователям эта угроза не страшна из-за разницы в работе push-уведомлений. Однако настольная версия Chrome оказалась уязвима перед атакой — она позволяет добавлять сторонние изображения во всплывающие уведомления, что можно использовать для обмана интернет-посетителей. В этом случае жертву атаки может смутить иконка браузера, но невнимательный пользователь может и не заметить её.



Вредоносное уведомление в настольном Chrome.

На руку преступникам играет и тот факт, что владельцы мобильных устройств в принципе более уязвимы перед фишинговыми атаками. Ранее те же специалисты Lookout подсчитали, что с 2011 года количество пользователей, поддавшихся на уловки мошенников, выросло почти вдвое. Это происходит из-за неудобства интерфейса, плохо читаемого текста, обилия элементов на небольшом экране устройства.

Кроме того, мобильные приложения зачастую не поддерживают защитные механизмы, которые традиционно применяются в настольных версиях программ. А специфические функции вроде автоматического скрытия адресной строки при прокрутке страницы упрощают злоумышленникам подмену легитимного URL на похожий.

Учитывая, что новая техника построена на легитимных API, защититься от неё пользователям поможет только собственная внимательность. Кроме того, посетителям интернет-сайтов стоит лишний раз подумать, прежде чем разрешить площадке отправлять всплывающие уведомления.

Комментарии (32)


  1. Barafu_Albino_Cheetah
    29.05.2019 16:38
    +3

    В который раз задумываюсь: то есть, если я никогда не помню свои пароли и их подставляет password manager, то к фишингу я в принципе не уязвим.


    1. p_fox
      30.05.2019 08:11
      +1

      Предоставлять свои пароли сторонним людям и считать себя неуязвимым…
      Странная логика.


      1. dvrpd
        30.05.2019 10:55

        Каким сторонним людям, если все пароли хранятся в обычном зашифрованном файле какого-нибудь KeePass?


  1. DrunkBear
    29.05.2019 16:50
    +8

    В который раз задумываюсь, что сайты, которые хотят посылать мне уведомления, нужно заносить в blacklist.


    1. A1054
      29.05.2019 23:56

      у меня ощущение, что сейчас это почти все сайты. не перестаю удивляться.


    1. FTOH
      30.05.2019 05:15
      +1

      Я на компьютере отключил уведомления в настройках браузера. Если нужны уведомления от определенного сайта, то нужно нажать на замочек, уведомления, разрешить.


    1. YMA
      30.05.2019 09:15

      Уведомления — на мой взгляд, какая-то священная корова интернет-маркетологов. Даже на тестах конкурса «Цифровой прорыв» им было уделено много внимания, и они преподносились, как лекарство от всех проблем продвижения. :) При этом в моем окружении я не знаю людей, которые бы ими пользовались…

      PS: Кстати — мобильные приложения аналогично, каждая забегаловка, служба такси и парикмахерская навяливает установку своего приложения на мое устройство. Но извините, разводить зоопарк всякого разного кода у себя нет никакого желания. Предпочитаю пользоваться сайтами сервисов (тот же Яндекс.Такси), а приложения — только в очень отдельных случаях (банк, мессенджеры, соцсети).


  1. corvair
    29.05.2019 17:00
    +2

    Маме в последнее время стали приходить уведомления с кликбейтным текстом на тему медицинского шарлатанства и оккультно-религиозной ерунды. Видимо, мошенники имеют доступ к персональным данным абонентов, содержание уведомлений явно таргетировано по возрасту.


    1. vedenin1980
      29.05.2019 18:00
      +2

      содержание уведомлений явно таргетировано по возрасту

      А может просто молодые сразу все эти уведомления прибивают на автомате и только до пожилых такой спам и доходит.


    1. Deosis
      30.05.2019 07:22

      Проверьте настройки уведомлений. Она могла случайно подписаться.


    1. phobin
      30.05.2019 10:55

      У них нет доступа к персональным данным кроме тех которые пользователь отдает сайту при входе (ip, user-agent). Просто они бьют по площадям и шлют то что больше всего конвертит пользователей.


    1. Asya38
      30.05.2019 10:55

      Скорее всего, мама просто сама искала что-то в интернете на медицинскую тематику перед этим.


  1. namikiri
    29.05.2019 17:08
    +5

    Вообще, Notifications API в том виде, в котором оно сейчас — зло. Пока не залезешь в настройки браузера и не отключишь запросы — каждый, буквально каждый сайт норовит подсунуть тебе порцию несвеженького. Да что там сайты — существуют целые сервисы, автоматизирующие надоедание пользователям. Некоторые научились мимикрировать под Chrome, и сначала показывают окошко, нарисованное на HTML, а потом уже сам браузер выводит запрос. Особенно забавно наблюдать за такими окошками, пользуясь Firefox.

    На мой взгляд этот API должен быть по умолчанию отключен. И только если пользователь действительно хочет получать уведомления с сайтов — он зайдёт в настройки, включит, увидит предупреждение о назойливости, и лишь затем, понимая все риски, включит этот API.


    1. Pydeg
      30.05.2019 02:37

      Да есть даже партнёрские сети, которые платят за активацию их уведомлений и недобросовестные владельцы сайтов так могут монетизировать трафик. Они ещё используют недочет в реализации (или спеке?) и редиректят пользователя по субдоменам, тем самым обходя отказ от уведомлений. Так что мимикрирование под диалог на HTML это ещё не самое страшное.


    1. vladkorotnev
      30.05.2019 04:25

      Помню, как разок на работе юзер залогинился в хроме в пейсбук и включил уведомления.
      А потом погулял по новостным сайтам, и на всех тоже соглашался — не то по незнанию, не то ему реально в кайф было.
      Естественно, надолго он на должности не задержался.
      Пришёл новый сотрудник, пришло время комп чистить, и когда его включили, то начался ящик пандоры — как в широко известной в узких кругах игре, "я на секунду отвернулся и тут же получил кучу дерьма в лицо". Выключать комп от такого потока пришлось с кнопки принудительно, а дальше уже было проще раскатать свежий образ, чем пытаться лечить.


      1. ksr123
        30.05.2019 16:20

        И это все из-за уведомлений? Увольнение, перестановка системы...


  1. geisha
    29.05.2019 17:19
    +3

    Чтобы ещё больше подтолкнуть жертву к желаемому действию, преступники намекают в тексте сообщений на бесплатные iPhone или возможность получить деньги от государства.

    Пхах-кхе-кхе-кхе-кхе, простите: подавился попкорном.


    1. tmin10
      29.05.2019 18:11
      +1

      Налоговый вычет вполне реален.


      1. DrunkBear
        29.05.2019 18:14

        Прямые дотации и купоны тоже, судя по английскому тексту на скриншотах — это для англоговорящих.


  1. TIMOHIUS
    29.05.2019 18:15
    +1

    На многих сайтах, как заходишь, появляется окошко "чтобы продолжить нажмите согласиться" или что то вроде того. За такое бы руки отрывать...



    1. rsashka
      29.05.2019 22:14
      +2

      Я бы так же отрывал руки, когда сайт требует обязательно скачать приложение вместо обычного просмотра контента через браузер на мобильном устройстве.


      1. HardWrMan
        30.05.2019 07:59

        Это вообще жесть. Есть примеры, когда окно навязывания приложения занимает треть экрана и имеет крестик закрытия, но есть одно но: он такой мелкий, что попасть в него я могу только с мышки, подключенной через OTG, а пальцем попадаешь на пиксель левее-правее и это приводит к активации выделения текста вокруг. За такое надо ещё и лишать возможности заводить потомство, чтобы такие гады не размножались…


  1. rsashka
    29.05.2019 22:18

    1. TIMOHIUS
      29.05.2019 23:37

      Переход банков на логины вместо мобильных номеров и на пули вместо смс-ок, а ещё развитие мобилиного клиента вместо вэб-а, просто поражает. Для меня например, это дико неудобно.


      1. vladkorotnev
        30.05.2019 04:26

        пули вместо смс-ок

        Действительно, как-то не очень удобно. А если прилетит неудачно?


  1. HardWrMan
    30.05.2019 07:56

    Я не понял, это хромой уязвим или как? На моей мобилке работает FF, а хромой отключен в приложениях (но, правда, не удалён) за не надобностью.


    1. koshi-dono
      30.05.2019 09:19

      Это невнимательные пользователи в очередной раз оказались уязвимы к фишингу. Кто бы мог подумать.


    1. nidalee
      30.05.2019 09:32

      Никакой «уязвимости» как таковой не существует. Просто люди еще не привыкли к уведомлениям от сайтов. Теперь сообщения о «выигрыше денег» приходят не только в открытое окно браузера, но еще и в уведомления, с переменным успехом маскируясь даже под другие приложения.


      1. HardWrMan
        30.05.2019 10:32

        Вопрос был немного не корректный. Я про то, что от FF я таких случайных пушей не получал, точнее я вообще никаких на мобильном FF ещё ниразу не получал. А от хромого они идут по умолчанию? Вот в чём был изначальный мой вопрос.


        1. pomd Автор
          30.05.2019 10:58

          кампания, которую обнаружили ИБ-специалисты, построена на мобильном Chrome. этот же приём также точно работает на настольных Safari и Chrome, но эти браузеры вроде пока не использовались в атаках.


        1. nidalee
          30.05.2019 11:04

          Нет, их надо сначала включить, специально или случайно ответить «да».