隨著新一波新冠疫情的到來(lái),洶涌的點(diǎn)擊欺詐活動(dòng)又開(kāi)始了
隨著新一波新冠疫情的到來(lái),許多國(guó)家重新實(shí)施了封鎖和限制,人們又再次被困在家里。隨著奧運(yùn)會(huì)比賽如火如荼地進(jìn)行,很多人都被吸引到網(wǎng)站上來(lái)觀看比賽了,這無(wú)意間使攻擊者發(fā)現(xiàn)了大量的點(diǎn)擊欺詐攻擊機(jī)會(huì)。
點(diǎn)擊欺詐是無(wú)效點(diǎn)擊的一部分,是指有惡意或欺詐目的的點(diǎn)擊,換句話說(shuō),是指意在通過(guò)人為的方式增加廣告客戶支出或發(fā)布商收入的點(diǎn)擊。網(wǎng)頁(yè)推送通知是一種瀏覽器功能,允許網(wǎng)站向訂閱用戶推送通知。 Chrome 在 2015 年推出了瀏覽器通知功能,允許網(wǎng)站向訂閱者推送新內(nèi)容或文章的通知。當(dāng)用戶允許網(wǎng)站的瀏覽器通知時(shí),它允許網(wǎng)站向?yàn)g覽器推送通知。
肆無(wú)忌憚的廣告商正在利用這一功能,從和奧運(yùn)比賽新聞?dòng)嘘P(guān)的點(diǎn)擊欺詐中獲利,這可能是利用了更多的人困在家里搜索流媒體內(nèi)容。趨勢(shì)科技注意到,從2月底開(kāi)始,這類垃圾郵件有所增加。經(jīng)過(guò)進(jìn)一步的調(diào)查,研究人員發(fā)現(xiàn)了這個(gè)瀏覽器通知方案的一些有趣和獨(dú)特之處。彈出窗口不會(huì)導(dǎo)致任何惡意的內(nèi)容,而是將用戶帶到合法的安全軟件網(wǎng)站。
用戶流量被重定向到瀏覽器通知垃圾郵件網(wǎng)站
濫用瀏覽器通知功能會(huì)破壞用戶的信任,垃圾郵件發(fā)送者利用這一功能來(lái)獲取廣告收入,并利用恐懼或誤導(dǎo)性通知來(lái)說(shuō)服用戶允許發(fā)送通知。
垃圾郵件的泛濫
從 3 月開(kāi)始,用戶在主要使用 Chrome 和 Edge 瀏覽器瀏覽互聯(lián)網(wǎng)時(shí)開(kāi)始報(bào)告未經(jīng)請(qǐng)求的彈出廣告。研究人員的初步調(diào)查發(fā)現(xiàn),這些彈出窗口通常源自旨在誘使用戶允許向?yàn)g覽器推送通知的網(wǎng)站。
瀏覽器通知網(wǎng)站正在加載,用戶必須點(diǎn)擊彈出窗口中的“允許”才能繼續(xù)
在使用Chrome和Edge時(shí),這些瀏覽器通知很常見(jiàn),一些用戶可能會(huì)在這些通知彈出時(shí)默認(rèn)點(diǎn)擊“允許”。
用戶通過(guò)各種門戶頁(yè)面被引導(dǎo)到瀏覽器垃圾通知(BNS)網(wǎng)站,其中大多數(shù)頁(yè)面似乎是專門為了點(diǎn)擊欺詐而創(chuàng)建的,以吸引用戶訪問(wèn),并將他們重定向到BNS網(wǎng)站。總的來(lái)說(shuō),研究人員發(fā)現(xiàn)了超過(guò)3500個(gè)重定向到80多個(gè)BNS網(wǎng)站的域名。基于IP范圍和注冊(cè)信息,研究人員認(rèn)為是同一攻擊者或組織為這個(gè)垃圾郵件活動(dòng)開(kāi)發(fā)了許多門戶頁(yè)面。
在這次攻擊中使用的一些網(wǎng)站占了研究人員看到的流量的很大一部分,包括:
- allowsuccess.org
- aloha-news.net
- beastbuying.com
- centralheat.net
- news-back.net
- news-central.org
- typiccor.com
超過(guò)3500個(gè)點(diǎn)擊頁(yè)面針對(duì)用戶興趣進(jìn)行了有針對(duì)性地設(shè)計(jì)。大多數(shù)網(wǎng)站都是成人內(nèi)容,除此之外體育流媒體、視頻流媒體、媒體分享和DIY博客也很常見(jiàn)。一些點(diǎn)擊頁(yè)面甚至本地化了,研究人員見(jiàn)過(guò)各種語(yǔ)言的頁(yè)面,比如印尼語(yǔ)、漢語(yǔ)和日語(yǔ)。研究人員甚至看到點(diǎn)擊頁(yè)面上有日本的漫畫(huà),這意味著背后的組織不只是隨機(jī)設(shè)置網(wǎng)頁(yè),而是在特定國(guó)家的人會(huì)搜索的內(nèi)容類型上進(jìn)行了專門設(shè)計(jì)。
攻擊者利用瀏覽器通知發(fā)送垃圾郵件的屏幕截圖
門戶頁(yè)面不僅促進(jìn)了這種垃圾郵件,而且在網(wǎng)頁(yè)內(nèi)容中還非法使用了有版權(quán)的材料。在日本,漫畫(huà)的使用是嚴(yán)格受版權(quán)保護(hù)的。
顯示的廣告取決于用戶所在的國(guó)家
攻擊者的主要目標(biāo)是將用戶流量重定向到他們的廣告網(wǎng)站。根據(jù)用戶的IP地址,攻擊者對(duì)廣告的文本和圖像進(jìn)行了本地化處理。與拉丁美洲或亞洲的用戶相比,在北美瀏覽網(wǎng)頁(yè)的用戶會(huì)看到不同的廣告。以下是針對(duì)巴西和日本用戶進(jìn)行本地化處理的三個(gè)廣告示例。
針對(duì)巴西用戶進(jìn)行了本地化的McAfee廣告
針對(duì)巴西用戶進(jìn)行了本地化的諾頓廣告
針對(duì)日本用戶進(jìn)行了本地化的McAfee廣告
如果用戶點(diǎn)擊這些彈出窗口上的續(xù)簽選項(xiàng),就會(huì)被重定向到McAfee和Norton 360的官方在線商店。
讓研究人員驚訝的是,彈出式垃圾郵件會(huì)用廣告轟炸用戶的方式來(lái)讓他們購(gòu)買合法的安全軟件。顯然,這是一種非常特殊的計(jì)劃,其中受委托的附屬公司試圖通過(guò)欺騙更多用戶訪問(wèn)他們的網(wǎng)站來(lái)從安全公司那里賺取更多提成。
對(duì)于美國(guó)用戶來(lái)說(shuō),研究人員看到的大多數(shù)廣告都是關(guān)于Norton和McAfee的,但是研究人員也被碰到過(guò)被重定向到Honey購(gòu)物優(yōu)惠券擴(kuò)展的廣告。
Honey Chrome 擴(kuò)展
美國(guó)以外的用戶以更多樣化的廣告為目標(biāo),雖然安全軟件仍然是廣告的主要組成部分,但在線約會(huì)和增強(qiáng)性能力的藥物廣告也被展示出來(lái)。
為亞洲用戶提供的增強(qiáng)性能力的藥物廣告
感染鏈
下圖總結(jié)了這次攻擊的感染鏈:
感染鏈
這是從點(diǎn)擊頁(yè)面到 BNS 網(wǎng)站,再到最終廣告的整個(gè)重定向鏈。有趣的是,這些廣告似乎也是專門為最近的垃圾郵件活動(dòng)創(chuàng)建的,因?yàn)榇蠖鄶?shù)域都是在過(guò)去幾個(gè)月內(nèi)注冊(cè)的。
緩解措施
受害者很可能在不知道自己被騙的情況下完成了這個(gè)重定向過(guò)程,用戶可以通過(guò)以下措施來(lái)避免類似的垃圾郵件攻擊:
1.避免訪問(wèn)不受信任的網(wǎng)站,用戶應(yīng)該從信譽(yù)良好的網(wǎng)站上找到符合他們興趣的流媒體內(nèi)容或主題,以最大限度地降低他們因垃圾郵件而受到詐騙的風(fēng)險(xiǎn);
2.用戶應(yīng)該謹(jǐn)慎地接受瀏覽器通知,如果這些都不被允許,這些垃圾郵件和其他類似的郵件就無(wú)法繼續(xù)進(jìn)行,谷歌分享了一個(gè)有用的教程,用于在 Chrome 中禁用這些通知;
3.彈出阻止程序是限制這種瀏覽器重定向的好方法,如果用戶確實(shí)看到了一個(gè)讓他們感興趣的彈出窗口,他們應(yīng)該直接進(jìn)入推薦的網(wǎng)站,而不是點(diǎn)擊廣告;
4.安裝殺毒軟件可以阻止瀏覽器通知網(wǎng)站的流量,并防止這些攻擊性廣告糾纏和欺騙用戶;
本文翻譯自:https://www.trendmicro.com/en_us/research/21/g/browser-notification-spam-tricks-clicks-for-ad-revenue.html如若轉(zhuǎn)載,請(qǐng)注明原文地址。
