Эксперты «Лаборатории Касперского» проанализировали нежелательные push-уведомления, досаждающие пользователям настольных и мобильных интернет-браузеров. Злоумышленники активно используют этот легитимный механизм для кражи учетных данных, распространения спама и вредоносного ПО.

По данным Kaspersky, с января по сентябрь 2019 года с такими уведомлениями столкнулись более 14 млн клиентов компании по всему миру. Наибольший риск подобных инцидентов наблюдается в Алжире — здесь случаи нежелательных подписок зафиксированы у 27% пользователей продуктов компании. В пятерку лидеров также вошли Беларусь (24,1%), Непал (23,7%), Казахстан (23,6%) и Филиппины (22,2%). Аналитики отмечают, что такие инциденты становятся все более частыми — с начала года их количество выросло почти в четыре раза.

Основные методы злоумышленников

Как правило, мошенники принуждают своих жертв к подписке под сторонним предлогом. Например, получение уведомлений представляется обязательным условием для воспроизведения видео или загрузки файлов. Нередко посетители полагают, что подписываются не на рекламу, а на обновления сайта. В результате, когда пользователей начинают заваливать объявлениями, им оказывается непросто определить источник.

Исследователи из Kaspersky обнаружили в таких кампаниях как обычный спам, так и откровенно вредоносные сообщения. В последнюю категорию попали уведомления о мнимом выигрыше в лотерею, приглашения к участию в оплачиваемых опросах, всплывающие окна с именами известных интернет-ресурсов и компаний. Целью таких сообщений являются персональные данные, которые нужно ввести на посадочной странице.

Вредоносные оповещения также часто запугивают пользователей якобы обнаруженными на их компьютерах вирусами. В этом случае мошенники часто копируют оформление Microsoft, маскируют оповещения под окна Windows Defender и других системных утилит. Пользователи, которые поддаются на уловку, рискуют получить на свои компьютеры ложный чистильщик и прочее подобное ПО, ненужное в лучшем случае и опасное — в худшем.

Технологии нежелательных уведомлений

Мошенники тщательно обфусцируют свои скрипты, скрывая их истинное назначение. Получив согласие пользователя, вредоносный компонент присваивает машине идентификатор и отправляет его на управляющий сервер злоумышленников. В свою очередь, браузер запоминает сайт, на который была оформлена подписка.

После этого сервер получает возможность отправлять клиенту контент в формате JSON. Исследователи обнаружили, что злоумышленники не указывают во всплывающих уведомлениях реальный адрес, на который попадает кликнувший пользователь. Пользователь видит в оповещении сайт, где он оформил подписку, однако цепочка переадресаций приводит его на другую страницу. Особенно часто эта тактика используется, если мошенники маскируют свою площадку под ресурс какой-либо известной организации.

Защита от вредоносных оповещений

Эксперты Kaspersky рекомендуют пользователям отказываться от подписок и тщательно проверять легитимность предлагающих оповещения сайтов. Отключить нежелательные уведомления можно в настройках браузера, где сохраняются все страницы с возможностью отправки контента. Специалисты также уточняют, что современные защитные решения умеют автоматически блокировать подобные сообщения.

Ранее стало известно, что разработчики Google и Mozilla работают над новым механизмом, который защитит пользователей от нежелательных уведомлений. С января 2020 года предложения подписки будут автоматически скрываться в Firefox — чтобы развернуть окно, нужно будет кликнуть по иконке в адресной строке. В случае Chrome сроки остаются неизвестными, однако в тестовой версии браузера новая функция появилась еще в августе.

На миниатюре представлена динамика злоупотреблений push-функциональностью в 2019 году (график позаимствован из блог-записи Kaspersky).

Категории: Аналитика, Главное, Мошенничество