[[415828]]

隨著新一波新冠疫情的到來，許多國家重新實施了封鎖和限制，人們又再次被困在家里。隨著奧運會比賽如火如荼地進行，很多人都被吸引到網(wǎng)站上來觀看比賽了，這無意間使攻擊者發(fā)現(xiàn)了大量的點擊欺詐攻擊機會。

點擊欺詐是無效點擊的一部分，是指有惡意或欺詐目的的點擊，換句話說，是指意在通過人為的方式增加廣告客戶支出或發(fā)布商收入的點擊。網(wǎng)頁推送通知是一種瀏覽器功能，允許網(wǎng)站向訂閱用戶推送通知。 Chrome 在 2015 年推出了瀏覽器通知功能，允許網(wǎng)站向訂閱者推送新內(nèi)容或文章的通知。當用戶允許網(wǎng)站的瀏覽器通知時，它允許網(wǎng)站向瀏覽器推送通知。

肆無忌憚的廣告商正在利用這一功能，從和奧運比賽新聞有關(guān)的點擊欺詐中獲利，這可能是利用了更多的人困在家里搜索流媒體內(nèi)容。趨勢科技注意到，從2月底開始，這類垃圾郵件有所增加。經(jīng)過進一步的調(diào)查，研究人員發(fā)現(xiàn)了這個瀏覽器通知方案的一些有趣和獨特之處。彈出窗口不會導(dǎo)致任何惡意的內(nèi)容，而是將用戶帶到合法的安全軟件網(wǎng)站。

用戶流量被重定向到瀏覽器通知垃圾郵件網(wǎng)站

濫用瀏覽器通知功能會破壞用戶的信任，垃圾郵件發(fā)送者利用這一功能來獲取廣告收入，并利用恐懼或誤導(dǎo)性通知來說服用戶允許發(fā)送通知。

垃圾郵件的泛濫

從 3 月開始，用戶在主要使用 Chrome 和 Edge 瀏覽器瀏覽互聯(lián)網(wǎng)時開始報告未經(jīng)請求的彈出廣告。研究人員的初步調(diào)查發(fā)現(xiàn)，這些彈出窗口通常源自旨在誘使用戶允許向瀏覽器推送通知的網(wǎng)站。

瀏覽器通知網(wǎng)站正在加載，用戶必須點擊彈出窗口中的“允許”才能繼續(xù)

在使用Chrome和Edge時，這些瀏覽器通知很常見，一些用戶可能會在這些通知彈出時默認點擊“允許”。

用戶通過各種門戶頁面被引導(dǎo)到瀏覽器垃圾通知(BNS)網(wǎng)站，其中大多數(shù)頁面似乎是專門為了點擊欺詐而創(chuàng)建的，以吸引用戶訪問，并將他們重定向到BNS網(wǎng)站?？偟膩碚f，研究人員發(fā)現(xiàn)了超過3500個重定向到80多個BNS網(wǎng)站的域名。基于IP范圍和注冊信息，研究人員認為是同一攻擊者或組織為這個垃圾郵件活動開發(fā)了許多門戶頁面。

在這次攻擊中使用的一些網(wǎng)站占了研究人員看到的流量的很大一部分，包括：

• allowsuccess.org
• aloha-news.net
• beastbuying.com
• centralheat.net
• news-back.net
• news-central.org
• typiccor.com

超過3500個點擊頁面針對用戶興趣進行了有針對性地設(shè)計。大多數(shù)網(wǎng)站都是成人內(nèi)容，除此之外體育流媒體、視頻流媒體、媒體分享和DIY博客也很常見。一些點擊頁面甚至本地化了，研究人員見過各種語言的頁面，比如印尼語、漢語和日語。研究人員甚至看到點擊頁面上有日本的漫畫，這意味著背后的組織不只是隨機設(shè)置網(wǎng)頁，而是在特定國家的人會搜索的內(nèi)容類型上進行了專門設(shè)計。

攻擊者利用瀏覽器通知發(fā)送垃圾郵件的屏幕截圖

門戶頁面不僅促進了這種垃圾郵件，而且在網(wǎng)頁內(nèi)容中還非法使用了有版權(quán)的材料。在日本，漫畫的使用是嚴格受版權(quán)保護的。

顯示的廣告取決于用戶所在的國家

攻擊者的主要目標是將用戶流量重定向到他們的廣告網(wǎng)站。根據(jù)用戶的IP地址，攻擊者對廣告的文本和圖像進行了本地化處理。與拉丁美洲或亞洲的用戶相比，在北美瀏覽網(wǎng)頁的用戶會看到不同的廣告。以下是針對巴西和日本用戶進行本地化處理的三個廣告示例。

針對巴西用戶進行了本地化的McAfee廣告

針對巴西用戶進行了本地化的諾頓廣告

針對日本用戶進行了本地化的McAfee廣告

如果用戶點擊這些彈出窗口上的續(xù)簽選項，就會被重定向到McAfee和Norton 360的官方在線商店。

讓研究人員驚訝的是，彈出式垃圾郵件會用廣告轟炸用戶的方式來讓他們購買合法的安全軟件。顯然，這是一種非常特殊的計劃，其中受委托的附屬公司試圖通過欺騙更多用戶訪問他們的網(wǎng)站來從安全公司那里賺取更多提成。

對于美國用戶來說，研究人員看到的大多數(shù)廣告都是關(guān)于Norton和McAfee的，但是研究人員也被碰到過被重定向到Honey購物優(yōu)惠券擴展的廣告。

Honey Chrome 擴展

美國以外的用戶以更多樣化的廣告為目標，雖然安全軟件仍然是廣告的主要組成部分，但在線約會和增強性能力的藥物廣告也被展示出來。

為亞洲用戶提供的增強性能力的藥物廣告

感染鏈

下圖總結(jié)了這次攻擊的感染鏈：

感染鏈

這是從點擊頁面到 BNS 網(wǎng)站，再到最終廣告的整個重定向鏈。有趣的是，這些廣告似乎也是專門為最近的垃圾郵件活動創(chuàng)建的，因為大多數(shù)域都是在過去幾個月內(nèi)注冊的。

緩解措施

受害者很可能在不知道自己被騙的情況下完成了這個重定向過程，用戶可以通過以下措施來避免類似的垃圾郵件攻擊：

1.避免訪問不受信任的網(wǎng)站，用戶應(yīng)該從信譽良好的網(wǎng)站上找到符合他們興趣的流媒體內(nèi)容或主題，以最大限度地降低他們因垃圾郵件而受到詐騙的風險;

2.用戶應(yīng)該謹慎地接受瀏覽器通知，如果這些都不被允許，這些垃圾郵件和其他類似的郵件就無法繼續(xù)進行，谷歌分享了一個有用的教程，用于在 Chrome 中禁用這些通知;

3.彈出阻止程序是限制這種瀏覽器重定向的好方法，如果用戶確實看到了一個讓他們感興趣的彈出窗口，他們應(yīng)該直接進入推薦的網(wǎng)站，而不是點擊廣告;

4.安裝殺毒軟件可以阻止瀏覽器通知網(wǎng)站的流量，并防止這些攻擊性廣告糾纏和欺騙用戶;

本文翻譯自：https://www.trendmicro.com/en_us/research/21/g/browser-notification-spam-tricks-clicks-for-ad-revenue.html如若轉(zhuǎn)載，請注明原文地址。