نوتیفیکیشن‌های ناخواسته در مرورگر

۱۳۹۸/۹/۱۷امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ وقتی برای اولین بار در سال 2015 پوش نوتیفیکیشن‌ها[1] روی مرورگرها ظاهر شدند، معدود افرادی از پتانسیل چنین قابلیتی در آینده باخبر بودند: زمانی فناوری‌ای کارامد ساخته شد تا طبق روال خاصی همواره خوانندگان را از آپدیت‌ها مطلع سازد؛ امروز این فناوری اغلب همچون بارانی از تبلیغاتِ ناخواسته بی‌امان بر سرِ بازدیدکنندگان سایت می‌ریزد. برای رسیدن به این هدف، کاربران فریب داده می‌شوند. در حقیقت با فریب آن‌ها به هر طریق ممکن ازشان خواسته می‌شود تا برای دریافت این نوتیفیکیشن‌ها عضو شوند. قربانی در نهایت خود را می‌بینید که برای دریافت تبلیغات عضو شده و بدترین قسمتش اینجاست که تازه می‌فهمد برای رهایی از این پیام‌های مزاحم هیچ راه فراری ندارد (در حقیقت هیچ آگاهی‌ای نسبت به منبع اصلی این آگهی‌های تبلیغاتی ندارد).

 

 

 

جدا از آگهی‌های تبلیغاتی، این نوتیفیکیشن‌های اسکم ممکن است همچنین در قالب بُرد در لاتاری یا پیشنهاداتی برای شرکت در نظرسنجی در ازای دریافت پول به شما ارسال شوند. همه‌ی این پیشنهادات معمولاً حملات فیشینگی هستند که میان کاربران به دنبال قربانی می‌گردند. در گزارشات اسپم و فیشینگ خود که هر سه ما یکبار تهیه می‌کنیم به کرُات به چنین مواردی برخوردیم.

از تاریخ 1 ژانویه تا 30 سپتامبر 2019، محصولات لابراتوار کسپرسکی از روی بیش از 14 کاربر در سراسر جهان، پیام‌های تبلیغاتی و نوتیفیکیشن‌های اسکم پاک کرده است. بیشترین قربانیان این عضویت‌های ناخواسته متعلق به کشورهای الجزیره (27.2%)، بلاروس (24.1%) ، نپال (23.7%)، قزاقستان (23.6%) و فیلیپین (22.2%) است.

همچنین در بخش توزیع و گسترش عضویت‌های اسکم و آگهی رویه‌ای تصاعدی را ثبت کردیم. از شروع سال 2019 شمار کاربرانی که قربانی این اتفاق شده‌اند همچنان در حال افزایش است: 

 

 

اجبار کاربر به عضو شدن

اسکمرها برای آنکه کاربران را مجبور کنند برای دریافت نوتیفیکیشن‌هایی که نمی‌خواهند عضو شوند سعی می‌کنند پنجره‌ی تأیید را شبیه چیز دیگری درست کنند تا کاربر متوجه نشود. برای مثال چیزی شبیه به CAPTCHA: 

 

 

در موارد دیگر، ظاهراً برای بازپخش یک ویدیو و یا شروع کردن دانلود یک فایل، کلیک روی دکمه‌ی Allow لازم است.

 

 

 

بعضی‌اوقات محتوای صفحه‌ی وبی تا وقتی کاربر به دریافت نوتیفکیشن‌ها رضایت نداده همینطور بلاک باقی می‌ماند.

 

 

 

قربانی اغلب به دریافت چنین نوتیفیکیشن‌هایی تن می‌دهد چون فکر می‌کند دارد برای دریافت آپدیت‌ روی وبسایت مورد علاقه‌اش عضو نمی‌شود؛ در حقیقت روحش هم خبر ندارد ماجرا از چه قرار است. در مورد زیر، عضویتی این چنینی توسط وبسایتی پیشنهاد می‌شود که ظاهراً منحصر به دستگاه‌های اندرویدی است: 

 

 

نمونه‌ی بارزش وبسایت‌هایی که خودشان را جای منابع محبوب قالب و تبلیغِ عضویت‌شان را می‌کنند: آن‌ها در واقع تنها کپی‌هایی هستند از این وبسایت‌های محبوب (فقط کمی ظاهرشان فرق دارد و نام دامنه‌شان).

 

 

  

برخی‌اوقات اسکمرها اسکریپت را طوری دستکاری می‌کنند که دکمه‌ها جایشان را با کادر دیالوگ درخواست عضویت عوض کنند. اگر این اسکریپت‌ها برای کلیک کردن روی Block در سمت راست کادر مورد استفاده قرار گیرند، این بار احتمال اینکه کاربر روی دکمه‌ی Allow بزند خیلی بیشتر می‌شود.

 

 

 

ساز و کار این عضویت‌ها به چه صورت است؟

اینکه کاربر شروع کند به دریافت نوتیفیکیشن ابتدا رضایت او لازم است. برخی درخواست‌ها برای رضایت دریافت در فوق نمایش داده است. این درخواست‌ها با استفاده از اسکریپت‌هایی فعال می‌شوند که با وب‌پیج می‌آید. 

 

 

هدف اصلی این اسکریپت‌ها شناسایی وجود کارکردهایی است که برای نمایش نوتیفیکیشن‌ها لازمند. چیزی مانند اسکریپت ServiceWorker که در قالب یک سرویس عمل می‌کند و حتی بواسطه‌ی آن وقتی مرورگر خاموش است هم باز پوش نوتیفیکیشن‌ها اجازه‌ی ورود دارند. اسکریپت‌های sign-up که کارشان آگهی تبلیغاتی و عضویت‌های اسکم است معمولاً به شدت گیج‌کننده هستند؛ اما با این حال عناصر اصلی‌شان قابل تشخیص است. 

 

  

 

اگر کاربر به نوتیفیکیشن‌ها رضایت دهد، اسکریپت یک آی‌دی مخصوص کاربر به سرور میزبانی نوتیفیکیشن می‌فرستد که بعدها کمک می‌کند معلوم شود دقیقاً چه کسی قرار است اخبار را دریافت کند. بعد از اینکه رضایت حاصل شد، سرور آی‌دی کاربر را ذخیره می‌کند؛ این درحالیست که لینکی به این وبسایت (که کاربر را برای دریافت نوتیفیکیشن مشخص می‌کند) در تنظیمات مرورگر ذخیره می‌شود.

 

 

 

بنابراین، کاربر رضایت داده این پوش نوتیفیکیشن‌ها برایش مدام بیایند، سرور اشتراک نیز آی‌دی کاربر را ذخیره کرده است و مرورگر هم صفحه‌ی وبی‌ای که رضایت کاربر در بخش عضویتش جلب شده را حفظ نموده. حال این سرور می‌تواند پیام پوش را با ارسالِ آن از طریق سرویس عضویت در فرمت JSON به کاربر برساند.

 

 

 

این پیام حاوی متن، تصویر (در صورت لزوم)، لینک به وبسایت مقصد و آی‌دی کاربر است. خود نوتیفیکیشن نیز حاوی لینکی است به وبسایتی که کاربر را عضو کرده بود و نه آن وب‌پیجی که کاربر بدان ریدایرکت خواهد شد. اغلب اوقات این باعث سردرگمی کاربر می‌شود، خصوصاً اگر وبسایت‌های sign-up از نام دامنه‌ی استفاده کرده باشند که شبیه به نام دامنه‌ی اصلی است. 

و نتیجه؟

در کم‌ضررترین حالت ممکن، قربانی تنها آگهی‌های پوش دریافت می‌کند. شاید برایتان جالب باشد بدانید که محتوای این تبلیغات بسته به موقعیت مکانی کاربر می‌تواند متفاوت باشد. برای مثال، اگر کاربر در سنگاپور باشد، محتوا چیزی مربوط به این کشور خواهد بود:

 

 

 

نمونه‌ی فوق، تبلیغ یک «داستان موفقیت» را می‌کند؛ موضوعی که میان رده‌بندی‌های چند سال اخیر بسیار محبوب بوده است. پوش نوتیفیکیشن‌ها اغلب حاوی لینک‌هایی هستند در مورد چگونه ثروتمند شدن و یا موفقیت موشکی. برای مثال، «چطور در فلان کشور ثروتمند شویم» یا «چطور یک مدیر زن موفق باشیم». بیشترِ این «توصیه‌ها» کارشان تبلیغ نکات آموزشی موفقیت و ورک‌شاپ‌ها و نمادهای بخت و اقبال است.

جا داشت این بخش را هم به طور مُجزا اختصاص دهیم به پیام‌های پوشی که خودشان را نوتیفیکیشن‌ اپ‌ها یا سیستم‌عامل جا می‌زنند: شاید به قربانی پیشنهاد شود روی دکمه‌ای کلیک کند تا این آگهی‌های پوش دی‌اکتیو شوند و یا لایسنس آنتی‌ویروس خود را تمدید کنند.

 

 

 

نوتیفیکیشن‌های هشدار ابتلای کامپیوتر به ویروس نیز از آن قِسم نوتیفکیشن‌های مزاحم و ناخوشایند است. این نوتیفیکیشن‌ها معمولاً کاربران را به صفحات از پیش طراحی‌شده ریدایکرت می‌کنند که خودشان را شبیه به وبسایت اصلی و رسمی مایکروسافت کرده‌اند و یا به برخی اجزای سیستم‌عامل ویندوز می‌مانند (مثلاً Windows Defender). 

 

 

این ترفند اغلب برای توزیع قابلیت‌های مختلف PC cleaning استفاده می‌شود. و گرچه برخی از آن‌ها کم و بیش کارکردهای مذکور را دارند اما بقیه فقط برای دوشیدن هر چه بیشتر کاربران استفاده می‌شوند.

راهکارهایی برای جلوگیری:

به منظور جلوگیری از دریافت چنین نوتیفیکیشن‌های آزاردهنده و یا آگهی‌های اسکم توصیه می‌کنیم:

  • حتی‌المقدور همه‌ی پیشنهادات عضویت را بلاک کنید؛ مگر آنکه از جانب وبسایت‌های محبوب و قابل‌اطمینان باشند. حتی آن زمان هم باز حواستان باشد وبسایت‌های رسمی واقعا رسمی باشند نه اینکه تقلیدی باشند از وبسایت‌های واقعی و اصل.
  • اگر قادر به جلوگیری از عضویت ناخواسته نیستید، همچنان می‌توانید آن را از تنظیمات مرورگر بلاک کنید.
  • از راهکارهای محافظتی که کارشان هشدار دادن به شما در خصوص نوتیفیکیشن‌های اسکم و پاک کردن موارد موجود است (اگر اصلاً وجود داشته باشند) استفاده کنید.

محصولات لابراتوار کسپرسکی اقدامات مربوط به پوش نوتیفیکیشن‌ها و عضویت‌های موجود را با حکم‌های AdWare.Script.Pusher و Trojan.Multi.BroSubsc.gen شناسایی می‌کنند.

 

[1] push notifications

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.