2015年,推送通知剛剛出現在瀏覽器上,很少有人想知道這個工具將來會如何使用。它曾經是一種有用的技術,可以讓經常閱讀它的讀者瞭解最新消息,但如今它經常被用來向網站訪問者發送未經請求的廣告。
受訪者最終訂閱了廣告,但同時卻無法擺脫這些惱人的信息,也不知道它們的來源。
主動推送通知的例子
推送的除了廣告,還有徹頭徹尾的詐騙通知,比如關於彩票中獎,或掏錢獲取不法服務等等。所有這些推送通常都是網絡釣魚攻擊,目的是誘使用戶掏腰包。我們已經在每季的垃圾郵件和網絡釣魚報告中反覆剖析了這種情況。
我們發現廣告和騙局訂閱的傳播趨勢也有上升。自年初以來,受此問題影響的用戶數量持續增長:
2019年1月至9月受此類訂閱影響的用戶數量
獲得訂閱用戶
爲了讓用戶訂閱他們不需要的通知,騙子們試圖將確認窗口作爲其他東西關閉。例如,作爲驗證碼:
在其他情況下,點擊“允許”按鈕表面上是需要播放視頻或開始下載文件:
有時網頁內容會被封鎖,直至用戶同意接受通知:
訪問者往往同意收到宣傳通知,誤以爲他或她正在訂閱有關網站的最新資訊。在下面的例子中,一個表面上專門針對Android設備的網站提供了這樣的訂閱:
特別值得注意的是那些熱門新聞訂閱的網站:這些實際上是流行網站的仿冒品——只是外觀略有不同,域名看起來就像真的一樣。
本頁與公司官網無關,僅供參考。
另一種模仿
有時,騙子只是修改腳本,使按鈕在訂閱請求對話框中交換位置;如果習慣了點擊方框右側的“Block”,那麼這次用戶很可能會點擊“Allow”。
如果您查看前面的屏幕截圖,您可能會注意到在這個對話框中按鈕的位置是相反的。
詐騙型訂閱如何誘導用戶同意?
用戶要開始接收通知,必須徵得他或她的同意。上面舉例說明了一些徵求同意的請求,這些都是使用腳本來激活的網頁。
提供腳本鏈接以激活訂閱請求對話框的網頁示例
這些腳本的主要目的是識別顯示通知所需的函數。例如ServiceWorker腳本,它作爲服務運行,甚至在瀏覽器關閉時也允許推送通知。處理廣告和欺詐訂閱的註冊腳本通常非常模糊。不過,它們的關鍵元素還是可以辨別的。
註冊腳本的模糊函數
具有一些模糊元素的註冊腳本代碼的更清晰部分
如果用戶已經同意了通知,腳本將向通知主機服務器發送一個惟一的用戶ID,這將有助於確定接收消息的確切用戶。在獲得用戶同意後,服務器將存儲用戶的ID,同時在瀏覽器設置中保存到已爲用戶註冊通知的網站的鏈接(已單擊“允許”按鈕的頁面)。
授權在瀏覽器設置中發送推送通知的網站。方框突出顯示廣告訂閱,而其中通知的內容與網站的原始內容無關。
因此,用戶已經同意了通知,訂閱服務器已經存儲了用戶的ID,瀏覽器已經記住了提供訂閱同意的網頁。現在,服務器可以通過JSON格式的訂閱服務向用戶發送推送消息。
JSON格式的通知消息示例
該消息包含文本、圖像(如果需要的話)、指向目標網站的鏈接和用戶ID。通知本身將包含指向用戶註冊的網站的鏈接,但不包括用戶將被重定向到的網頁。這通常會誤導用戶,特別是當註冊網站使用一個看起來像合法域名的域名時。
這些訂閱會導致什麼結果?
在最無害的情況下,受害者只會收到推送廣告。有趣的是,它們的內容可能會根據用戶的位置而有所不同。例如,如果在新加坡,將顯示與國家相關的內容:
順便說一下,上面的例子展示了“成功故事”廣告,這是過去幾年非常流行的廣告類別。推送通知通常會提供關於如何在敏感的社會話題中致富或取得成功的故事的鏈接。例如,“如何在一個特定的國家致富”或“如果你是一個女人,如何成爲一個成功的經理”。大多數這樣的“提示”宣傳的是成功學培訓、講座、和研討會等。
值得單獨提及的是推送消息僞裝成來自操作系統或應用程序的系統通知:受害者可能會被建議單擊一個按鈕來關閉推送廣告或延長反病毒許可。
電腦病毒感染警報通知是最令人不愉快的通知之一。它們通常會將用戶重定向到預先設計好的頁面,這些頁面看起來像微軟的官方網站,或者類似於某些操作系統的Windows組件,例如Windows衛士:
這個技巧經常用於分發各種“PC清理”工具。雖然他們中的一些人確實或多或少地執行了規定的功能,但另一些人只是試圖從用戶那裏榨取儘可能多的錢。
如何避免主動訂閱
爲了避免收到煩人的通知或詐騙廣告,以下是一些簡單的建議:
△在可能的情況下,關閉所有的訂閱服務,除非它們來自受信任的網站。即使這樣,也要睜大眼睛,不要被虛假網站欺騙。
△如果無法避免不想要的訂閱,您仍然可以在瀏覽器設置中阻止它。
△必要的話,可以選用保護類解決方案。
— END —
安全之道,青松知道
