В сфере информационной безопасности угрозы не всегда являются очевидными вредоносными программами. Иногда опасность кроется в простых и, казалось бы, безобидных функциях, которые пользователи принимают за часть интерфейса. Яркий пример - набирающая обороты схема злоупотребления веб-уведомлениями браузера, которая маскируется под интерактивные онлайн-викторины. Эта тактика не требует заражения устройства традиционным вредоносным ПО, что позволяет ей обходить многие системы защиты, ориентированные на классические угрозы, и вводить в заблуждение как обычных пользователей, так и технических специалистов.
Описание
Ситуация привлекла внимание специалистов после того, как в службу поддержки нескольких компаний, включая разработчика средств защиты Malwarebytes, начали обращаться обеспокоенные пользователи. Они сообщали о подозрительных всплывающих окнах на своих компьютерах, которые напоминали системные предупреждения или рекламу. Однако сканирование традиционными антивирусными инструментами не выявляло угроз, поскольку сами уведомления не являются файловым вредоносным ПО. Как рассказали эксперты по удалению угроз, проблема заключалась в браузерных push-уведомлениях, которые сайты получают право показывать после того, как пользователь по незнанию нажимает кнопку «Разрешить» в специальном диалоговом окне.
Расследование показало, что источником проблемы чаще всего становятся сайты с викторинами, которые активно продвигаются в интернете. Их тематика варьируется: от проверки знаний по истории и географии до вопросов, ориентированных на жителей конкретных стран, таких как Канада, Германия, Франция, Япония и США. Главная цель этих ресурсов - не развлечь посетителя, а заманить его на кнопку «Начать викторину». Однако перед началом теста пользователь видит хитро сконструированную подсказку с текстом вроде «Нажмите "Разрешить", чтобы продолжить» и стрелкой, указывающей на стандартное системное окно браузера с запросом на отправку уведомлений. Многие, не вчитываясь, соглашаются, давая сайту разрешение показывать уведомления даже тогда, когда браузер закрыт.
После этого начинается основной этап атаки. Пользователь проходит викторину, не подозревая о последствиях, а в фоновом режиме сайт получает канал для прямой доставки контента. Через этот канал злоумышленники начинают массово рассылать рекламу, часто связанную с партнёрскими программами, мошенническими схемами или предложениями скачать нежелательное программное обеспечение. Вредоносные уведомления могут маскироваться под предупреждения системы безопасности, сообщения об ошибках или срочные оповещения, вынуждая пользователя кликать по ним и попадать на фишинговые или заражённые страницы. Ключевая опасность заключается в том, что для обычного человека определить источник таких уведомлений практически невозможно, так как они отображаются средствами операционной системы, а не в окне браузера.
Данная схема представляет собой пример социальной инженерии, где эксплуатация человеческого фактора заменяет сложные технические уязвимости. Атака не оставляет следов в файловой системе, что делает её невидимой для классических антивирусных сканеров, ищущих сигнатуры вредоносных программ или аномальную активность процессов. Её успех полностью зависит от того, сможет ли злоумышленник убедить пользователя добровольно предоставить разрешение. Эта тактика стала особенно популярной среди недобросовестных партнёрских программ (affiliate schemes), которые продвигают, в том числе, и софт, связанный с безопасностью.
Для эффективной защиты специалисты рекомендуют в первую очередь пересмотреть настройки разрешений в браузерах. Полностью отключить запросы на отправку уведомлений можно в настройках конфиденциальности и безопасности. Для браузеров на движке Chromium (Google Chrome, Microsoft Edge, Opera) необходимо зайти в «Настройки» > «Конфиденциальность и безопасность» > «Настройки сайтов» > «Уведомления» и перевести переключатель в положение «Сайтам запрещено отправлять уведомления». В Mozilla Firefox соответствующий параметр находится в «Настройки» > «Конфиденциальность и безопасность» > «Разрешения» > «Уведомления», где нужно установить галочку «Блокировать новые запросы на разрешение отправки уведомлений».
Если уведомления уже поступают, их источник можно заблокировать в том же меню, выбрав соответствующий сайт из списка. Полезной функцией является значок шестерёнки, который может отображаться в самих push-уведомлениях в браузерах на базе Chromium - клик по нему сразу открывает страницу управления разрешениями для данного источника. Важно также проверять расширения браузера, так как некоторые из них могут самостоятельно добавлять разрешения на показ уведомлений. Регулярный аудит установленных расширений и удаление непроверенных или неиспользуемых - важная часть профилактики.
Таким образом, текущий тренд на использование веб-уведомлений в мошеннических целях подчёркивает необходимость комплексного подхода к безопасности. Помимо технических средств защиты, критически важным становится повышение цифровой грамотности пользователей. Специалистам по информационной безопасности стоит включить правила работы с разрешениями браузера в программы обучения внутри организаций, а также рассмотреть возможность централизованного управления этими настройками в корпоративной среде. Простое правило «думай, прежде чем кликнуть "Разрешить"» вновь оказывается на передовой в борьбе с современными киберугрозами.
Индикаторы компрометации
Domains
- dailyrumour.co.nz
- edifaqe.org
- genisfun.co.nz
- geniusfun.co.in
- geniusfun.co.za
- holicithed.com
- ivenih.org
- loopdeviceconnection.co.in
- mindorbittest.com
- navixzuno.co.in
- quizcentral.co.in
- quizcentral.co.za
- rixifabed.org
- triviabox.co.in
- uhuhedeb.org
- unsphiperidion.co.in
- yeqeso.org
- ylloer.org
