Quizwebsites misleiden gebruikers om ongewenste browsermeldingen in te schakelen

Ons ondersteuningsteam heeft een aantal klanten gemeld die vermoedden dat hun apparaat mogelijk geïnfecteerd was met malware, maar Malwarebytes leverden niets op.

Toen de klanten screenshots verstrekten, herkende ons Malware Removal Support-team het formaat snel als webpushmeldingen.

De reden dat de scans geen resultaten opleverden, is dat deze meldingen geen malware op het apparaat zijn. Het zijn browsermeldingen van websites die gebruikers misleiden om op 'Toestaan' te klikken.

We hebben de klanten geholpen om de pushmeldingen uit te schakelen (zie hieronder voor instructies). Maar aangezien de meesten van hen niet wisten hoe ze deze meldingen hadden gekregen, zijn we op onderzoek uitgegaan om te achterhalen waar ze vandaan kwamen.

We begonnen met een van de meest voorkomende domeinen, genaamd unsphiperidion[.]co.in, maar het enige wat we vonden was een misleidende advertentie die de extensie beloofde extensie in plaats daarvan naar Poperblocker leidde.

Screenshot met valse melding "update de extensie" — Valse Adguard-browser extensie -prompt

Maar een andere aanwijzing, die ook door het Malware Removal Support-team werd genoemd – een domein met de naam triviabox[.]co[.]in – bracht ons praktisch rechtstreeks naar de bron.

We vonden een site die onze intelligentie uitdaagde door ons een quiz te laten doen.

Screenshot met de tekst "Alleen mensen die de jaren 80 hebben meegemaakt, kunnen 15/20 scoren op deze quiz" — Voorbeeld van een quizwebsite

Later ontdekten we dat deze quizzen in verschillende varianten beschikbaar zijn. Sommige gaan over aardrijkskunde, woordenschat en geschiedenis, terwijl andere specifiek gericht zijn op Canada, Duitsland, Frankrijk, Japan en de VS.

Maar het belangrijkste doel van deze sites is om je op de knop 'Start de quiz' te laten klikken, zodat de site later meldingen kan versturen en geld kan verdienen met advertenties, affiliateprogramma's, oplichting of ongewenste downloads.

Screenshot met de tekst "Klaar om je kennis te testen? Start de quiz" — Klaar om je kennis te testen? Start de quiz

Wat die knop doet voordat de quiz begint, is de bezoeker een prompt tonen met een misleidende achtergrond.

Screenshot met "Klik op Toestaan om door te gaan" en een prompt voor het weergeven van meldingen. — Klik op Toestaan om door te gaan om de browser te vragen om meldingen weer te geven.

De tekst van de meldingen in de daadwerkelijke prompt vertelt het echte verhaal. Je geeft de website toestemming om je meldingen te tonen, zelfs wanneer je niet op de website bent, waardoor het voor gebruikers moeilijk is om de herkomst te achterhalen.

De tekst 'Toestaan' met de rode pijl op de website zelf is niets meer dan een goed geplaatste lokkertje om u te laten klikken op die knop 'Toestaan' en zo de sluizen open te zetten. Om geen argwaan te wekken, krijgt de bezoeker vervolgens de quiz te zien, zodat hij later geen reden heeft om te vermoeden wat de oorzaak van de beproeving was.

Webpushmeldingen (ook wel browserpushmeldingen genoemd) zijn niet altijd eenvoudige advertenties. Sommige kunnen misleidende berichten zijn over de veiligheid van uw computer. Het tandwielpictogram in de meldingen zelf kan erg nuttig zijn. In Chromium-gebaseerde browsers leidt een klik hierop u naar het menu Meldingsinstellingen, waar u ze kunt blokkeren.

Helaas zien we dat ze vaak worden gebruikt door 'affiliates' om beveiligingssoftware te promoten. Als u op zoek bent naar een anti-malwareoplossing die geen gebruik maakt van dergelijke affiliates, weet u waar u ons kunt vinden.

Hoe webpushmeldingen verwijderen en blokkeren

Voor elke browser zien de meldingen er iets anders uit en ook de methoden om ze uit te schakelen verschillen enigszins. Om ze gemakkelijker te vinden te maken, heb ik ze per browser opgesplitst.

Chrome

Om meldingen volledig uit te schakelen, zelfs van een extensie:

Klik op de knop met de drie puntjes in de rechterbovenhoek van het Chrome om hetmenu Instellingente openen.
Ga naar hetmenu Instellingenen klik opPrivacy beveiliging.
Klik opSite-instellingen.
Selecteer in dat menuMeldingen.
Standaard is de schuifregelaar ingesteld opSites kunnen vragen om meldingen te verzenden, maaru kunt deze naarSites mogen geen meldingen verzendenverplaatsen als u meldingen volledig wilt blokkeren.

Voor meer gedetailleerde controle kunt u het menu Aangepaste gedragingen gebruiken om de afzonderlijke items te bewerken.

Gedeelte met aangepast gedrag van het Chromium-meldingenmenu

Houd er rekening mee dat u soms items ziet met een puzzelstukje-pictogram in plaats van de drie gestapelde puntjes. Deze worden afgedwongen door een extensie, dus u moet eerst uitzoeken welke extensie verantwoordelijk extensie en deze vervolgens verwijderen. Maar voor de items met de drie puntjes erachter kunt u op de puntjes klikken om dit contextmenu te openen:

Als jeBlokkerenselecteert, wordt het item naar de blokkeerlijst verplaatst. Als jeVerwijderenselecteert, wordt het item uit de lijst verwijderd. Er wordt opnieuw om toestemming gevraagd om meldingen weer te geven als je hun site bezoekt (tenzij je de schuifregelaar opBlokkeren hebt gezet).

Snelkoppeling: een andere manier om naar het eerder getoonde menuMeldingente gaan, is door op het tandwielpictogram in de meldingen zelf te klikken. Hiermee gaat u rechtstreeks naar de gedetailleerde lijst.

Firefox

Om meldingen in Firefox volledig uit te schakelen:

Klik op de drie horizontale streepjes in de rechterbovenhoek van de menubalk en selecteerOpties inhet instellingenmenu.
Selecteer aan de linkerkantPrivacy beveiliging.
Scroll naar beneden naar hetgedeelte Machtigingenen klik op Meldingen.

Vink in het menu dat verschijnt het vakjeNieuwe verzoeken om meldingen toe te staan blokkerenonderaan aan.

In hetzelfde menu kunt u een meer gedetailleerde controle toepassen door de vermelde items in te stellen opBlokkeren ofToestaan metbehulp van het vervolgkeuzemenu achter elk item.

Klik op Wijzigingen opslaan wanneer u klaar bent.

Opera

Wat pushmeldingen betreft, kun je zien hoe nauw Opera en Chrome met elkaar verbonden Chrome .

Open het menu door op de O in de linkerbovenhoek te klikken.
Klik opInstellingen (op Windows)/Voorkeuren (op Mac).
Klik op Advanced en selecteerPrivacy beveiliging.
OnderInstellingen voor inhoud (desktop)/Instellingen voor de site (Android) selecteert uMeldingen.

Op Android kun je alle items in één keer of één voor één verwijderen. Op desktops werkt het precies hetzelfde als in Chrome. Hetzelfde geldt voor het openen van het menu vanuit de meldingen zelf. Klik op het tandwielpictogram in de melding en je gaat naar het menuMeldingen.

Edge

Ga in Edge naarInstellingen en meer inde rechterbovenhoek van uw browservenster en vervolgens

Select Instellingen >Privacy, zoeken en services > Site-machtigingen > Alle sites.
Select website waarvoor u meldingen wilt blokkeren, zoek deinstelling Meldingenen kiesBlokkeren inhet vervolgkeuzemenu.

Om meldingen vanuit de adresbalk van uw browser te beheren:

Om meldingen te controleren of te beheren terwijl u een website bezoekt waarop u zich al hebt geabonneerd, volgt u de onderstaande stappen:

Select 'Site-informatie weergeven' linksvan uw adresbalk.
Kies onderMachtigingen voor deze site >Meldingen de optieBlokkeren inhet vervolgkeuzemenu.

Safari op Mac

Open op je Mac het Apple-menu ' ' en klik vervolgens op

Kies Systeeminstellingen en klik vervolgens op Meldingenin de zijbalk. (Mogelijk moet u naar beneden scrollen.)
Ga naar App-meldingen, klik op de website en schakel Meldingen toestaan uit.

De website blijft in de lijst in de instellingen voor meldingen staan. Om deze uit de lijst te verwijderen, moet u de website in de Safari-instellingen de toestemming om meldingen te verzenden weigeren. ZieWebsite-instellingen wijzigen.

Om geen verzoeken om toestemming voor het verzenden van meldingen in Safari meer te zien:

Ga naar de Safari-app op je Mac.
Kies Safari> Instellingen.
Klik op Websites en vervolgens op Meldingen.
Schakel 'Websites toestaan om toestemming te vragen voor het verzenden van meldingen' uit.

Vanaf nu wordt u niet meer gevraagd wanneer u een website bezoekt die u meldingen wil sturen.

Zijn deze meldingen überhaupt nuttig?

Hoewel we ons enkele gevallen kunnen voorstellen waarin pushmeldingen nuttig kunnen zijn, zouden we het u zeker niet kwalijk nemen als u besluit ze helemaal uit te schakelen.

Webpushmeldingen zijn er niet alleen om Windows te storen. Android, Chromebook, MacOS- en zelfs Linux-gebruikers kunnen ze zien als ze een van de deelnemende browsers gebruiken: Chrome, Firefox, Opera, Edge en Safari. In sommige gevallen hoeft de browser niet eens te zijn geopend om pushmeldingen weer te geven.

Wees voorzichtig en denk twee keer na voordat je op 'Toestaan' klikt.

Indicatoren van compromissen (IOC's)

Tijdens het onderzoek hebben we de volgende domeinen gevonden en geblokkeerd die verband hielden met de campagne:

dailyrumour[.]co.nz
edifaqe[.]org
geniusfun[.]co.in
geniusfun[.]co.za
genisfun[.]co.nz
holicithed[.]com
ivenih[.]org
loopdeviceconnection[.]co.in
mindorbittest[.]com
navixzuno[.]co.in
quizcentral[.]co.in
quizcentral[.]co.za
rixifabed[.]org
triviabox[.]co.in
uhuhedeb[.]org
unsphiperidion[.]co.in
yeqeso[.]org
ylloer[.]org

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.