浏览器中的诈骗广告,你留意过吗?
2015年,推送通知刚刚出现在浏览器上,很少有人想知道这个工具将来会如何使用。它曾经是一种有用的技术,可以让经常阅读它的读者了解最新消息,但如今它经常被用来向网站访问者发送未经请求的广告。
受访者最终订阅了广告,但同时却无法摆脱这些恼人的信息,也不知道它们的来源。
主动推送通知的例子
推送的除了广告,还有彻头彻尾的诈骗通知,比如关于彩票中奖,或掏钱获取不法服务等等。所有这些推送通常都是网络钓鱼攻击,目的是诱使用户掏腰包。我们已经在每季的垃圾邮件和网络钓鱼报告中反复剖析了这种情况。
我们发现广告和骗局订阅的传播趋势也有上升。自年初以来,受此问题影响的用户数量持续增长:
2019年1月至9月受此类订阅影响的用户数量
获得订阅用户
为了让用户订阅他们不需要的通知,骗子们试图将确认窗口作为其他东西关闭。例如,作为验证码:
在其他情况下,点击“允许”按钮表面上是需要播放视频或开始下载文件:
有时网页内容会被封锁,直至用户同意接受通知:
访问者往往同意收到宣传通知,误以为他或她正在订阅有关网站的最新资讯。在下面的例子中,一个表面上专门针对Android设备的网站提供了这样的订阅:
特别值得注意的是那些热门新闻订阅的网站:这些实际上是流行网站的仿冒品——只是外观略有不同,域名看起来就像真的一样。
本页与公司官网无关,仅供参考。
另一种模仿
有时,骗子只是修改脚本,使按钮在订阅请求对话框中交换位置;如果习惯了点击方框右侧的“Block”,那么这次用户很可能会点击“Allow”。
如果您查看前面的屏幕截图,您可能会注意到在这个对话框中按钮的位置是相反的。
诈骗型订阅如何诱导用户同意?
用户要开始接收通知,必须征得他或她的同意。上面举例说明了一些征求同意的请求,这些都是使用脚本来激活的网页。
提供脚本链接以激活订阅请求对话框的网页示例
这些脚本的主要目的是识别显示通知所需的函数。例如ServiceWorker脚本,它作为服务运行,甚至在浏览器关闭时也允许推送通知。处理广告和欺诈订阅的注册脚本通常非常模糊。不过,它们的关键元素还是可以辨别的。
注册脚本的模糊函数
具有一些模糊元素的注册脚本代码的更清晰部分
如果用户已经同意了通知,脚本将向通知主机服务器发送一个惟一的用户ID,这将有助于确定接收消息的确切用户。在获得用户同意后,服务器将存储用户的ID,同时在浏览器设置中保存到已为用户注册通知的网站的链接(已单击“允许”按钮的页面)。
授权在浏览器设置中发送推送通知的网站。方框突出显示广告订阅,而其中通知的内容与网站的原始内容无关。
因此,用户已经同意了通知,订阅服务器已经存储了用户的ID,浏览器已经记住了提供订阅同意的网页。现在,服务器可以通过JSON格式的订阅服务向用户发送推送消息。
JSON格式的通知消息示例
该消息包含文本、图像(如果需要的话)、指向目标网站的链接和用户ID。通知本身将包含指向用户注册的网站的链接,但不包括用户将被重定向到的网页。这通常会误导用户,特别是当注册网站使用一个看起来像合法域名的域名时。
这些订阅会导致什么结果?
在最无害的情况下,受害者只会收到推送广告。有趣的是,它们的内容可能会根据用户的位置而有所不同。例如,如果在新加坡,将显示与国家相关的内容:
顺便说一下,上面的例子展示了“成功故事”广告,这是过去几年非常流行的广告类别。推送通知通常会提供关于如何在敏感的社会话题中致富或取得成功的故事的链接。例如,“如何在一个特定的国家致富”或“如果你是一个女人,如何成为一个成功的经理”。大多数这样的“提示”宣传的是成功学培训、讲座、和研讨会等。
值得单独提及的是推送消息伪装成来自操作系统或应用程序的系统通知:受害者可能会被建议单击一个按钮来关闭推送广告或延长反病毒许可。
电脑病毒感染警报通知是最令人不愉快的通知之一。它们通常会将用户重定向到预先设计好的页面,这些页面看起来像微软的官方网站,或者类似于某些操作系统的Windows组件,例如Windows卫士:
这个技巧经常用于分发各种“PC清理”工具。虽然他们中的一些人确实或多或少地执行了规定的功能,但另一些人只是试图从用户那里榨取尽可能多的钱。
如何避免主动订阅
为了避免收到烦人的通知或诈骗广告,以下是一些简单的建议:
△在可能的情况下,关闭所有的订阅服务,除非它们来自受信任的网站。即使这样,也要睁大眼睛,不要被虚假网站欺骗。
△如果无法避免不想要的订阅,您仍然可以在浏览器设置中阻止它。
△必要的话,可以选用保护类解决方案。
— END —
安全之道,青松知道