Witryny z quizami nakłaniają użytkowników do włączenia niechcianych powiadomień przeglądarki

Nasz zespół pomocy technicznej zgłosił kilku klientów, którzy podejrzewali, że ich urządzenia mogą być zainfekowane złośliwym oprogramowaniem, ale Malwarebytes nie wykazało żadnych zagrożeń.

Kiedy klienci dostarczyli zrzuty ekranu, nasz zespół pomocy technicznej ds. usuwania złośliwego oprogramowania szybko rozpoznał format jako powiadomienia push.

Powodem, dla którego skanowanie nie wykazało żadnych zagrożeń, jest fakt, że powiadomienia te nie są złośliwym oprogramowaniem na urządzeniu. Są to powiadomienia przeglądarki pochodzące ze stron internetowych, które nakłaniają użytkowników do kliknięcia przycisku „Zezwól”.

Pomogliśmy klientom wyłączyć powiadomienia push (instrukcje poniżej). Ponieważ jednak większość z nich nie wiedziała, skąd się one wzięły, postanowiliśmy zbadać tę sprawę i dowiedzieć się, skąd pochodzą.

Zaczęliśmy od jednej z najpopularniejszych domen o nazwie unsphiperidion[.]co.in, ale znaleźliśmy tylko wprowadzającą w błąd reklamę, która obiecywała rozszerzenie przeglądarki Adguard, a zamiast tego prowadziła do Poperblocker.

Zrzut ekranu przedstawiający fałszywy komunikat „zaktualizuj rozszerzenie przeglądarki Adguard” — Fałszywe powiadomienie o aktualizacji rozszerzenia przeglądarki Adguard

Jednak kolejna wskazówka, o której wspomniał również zespół pomocy technicznej ds. usuwania złośliwego oprogramowania — domena o nazwie triviabox[.]co[.]in — praktycznie doprowadziła nas prosto do źródła.

Znaleźliśmy stronę, która rzuciła wyzwanie naszej inteligencji, zachęcając nas do rozwiązania quizu.

Zrzut ekranu przedstawiający napis „Tylko osoby, które przeżyły lata 80., mogą uzyskać 15/20 punktów w tym quizie”. — Przykładowa strona internetowa z quizami

Później odkryliśmy, że quizy te mają różne tematy. Niektóre dotyczą geografii, słownictwa i historii, podczas gdy inne są poświęcone konkretnie Kanadzie, Niemcom, Francji, Japonii i Stanom Zjednoczonym.

Jednak głównym celem tych stron jest skłonienie użytkownika do kliknięcia przycisku „Rozpocznij quiz”, aby strona mogła później wysyłać powiadomienia i zarabiać na reklamach, programach partnerskich, oszustwach lub niechcianych plikach do pobrania.

Zrzut ekranu przedstawiający komunikat „Gotowy, aby sprawdzić swoją wiedzę? Rozpocznij quiz”. — Gotowy, aby sprawdzić swoją wiedzę? Rozpocznij quiz

Przed rozpoczęciem quizu przycisk ten wyświetla użytkownikowi komunikat z mylącym tłem.

Zrzut ekranu przedstawiający komunikat „Kliknij Zezwól, aby kontynuować” oraz monit o wyświetlanie powiadomień. — Kliknięcie przycisku Zezwól, aby kontynuować powoduje wyświetlenie monitu przeglądarki „pokaż powiadomienia”.

Tekst powiadomień wyświetlany w oknie dialogowym zawiera prawdziwą informację. Użytkownik udziela witrynie zgody na wyświetlanie powiadomień nawet wtedy, gdy nie jest na niej obecny, co utrudnia mu określenie źródła powiadomień.

Tekst „Zezwól” z czerwoną strzałką na stronie internetowej jest niczym innym jak dobrze umieszczoną przynętą, która ma skłonić użytkownika do kliknięcia przycisku „Zezwól” i otwarcia wrót. Aby nie wzbudzać podejrzeń, odwiedzający otrzymuje następnie quiz, dzięki czemu później nie ma powodu, aby podejrzewać, co zapoczątkowało tę mękę.

Powiadomienia push w sieci (zwane również powiadomieniami push przeglądarki) nie zawsze są zwykłymi reklamami. Niektóre z nich mogą zawierać wprowadzające w błąd informacje dotyczące bezpieczeństwa komputera. Bardzo pomocna może być ikona koła zębatego znajdująca się w samych powiadomieniach. W przeglądarkach opartych na silniku Chromium kliknięcie tej ikony spowoduje przejście do menu ustawień powiadomień, w którym można je zablokować.

Niestety, często spotykamy się z tym, że są one wykorzystywane przez „partnerów” do promowania oprogramowania zabezpieczającego. Jeśli szukasz rozwiązania antywirusowego, które nie korzysta z usług takich partnerów, wiesz, gdzie nas znaleźć.

Jak usunąć i zablokować powiadomienia push w przeglądarce internetowej

W każdej przeglądarce powiadomienia wyglądają nieco inaczej, a metody ich wyłączania również się nieco różnią. Aby ułatwić ich znalezienie, podzieliłem je według przeglądarek.

Chrome

Aby całkowicie wyłączyć powiadomienia, nawet z rozszerzenia:

Kliknij przycisk z trzema kropkami w prawym górnym rogu Chrome przeglądarki Chrome , aby przejść domenu Ustawienia.
Wmenu UstawieniakliknijPrivacy bezpieczeństwo.
KliknijUstawienia witryny.
W tym menu wybierz opcjęPowiadomienia.
Domyślnie suwak jest ustawiony na„Witryny mogą prosić o wysyłanie powiadomień”, alejeśli chcesz całkowicie zablokować powiadomienia,możesz przesunąć go do pozycji„Nie zezwalaj witrynom na wysyłanie powiadomień”.

Aby uzyskać bardziej szczegółową kontrolę, można użyć menu „Zostosowane zachowania ” do manipulowania poszczególnymi elementami.

Sekcja dostosowanych zachowań w menu powiadomień Chromium

Należy pamiętać, że czasami zamiast trzech kropek mogą pojawić się elementy z ikoną puzzli. Są one wyświetlane przez rozszerzenie, więc należy najpierw ustalić, które rozszerzenie jest za to odpowiedzialne, a następnie je usunąć. Jednak w przypadku elementów z trzema kropkami można kliknąć kropki, aby otworzyć menu kontekstowe:

Wybranieopcji „Blokuj”spowoduje przeniesienie elementu do listy blokowanych. Wybranieopcji „Usuń”spowoduje usunięcie elementu z listy. Jeśli ponownie odwiedzisz tę stronę, pojawi się prośba o zgodę na wyświetlanie powiadomień (chyba że ustawiłeś suwak wpozycji „Blokuj”).

Skrót: innym sposobem przejścia do menupowiadomieńpokazanego wcześniej jest kliknięcie ikony koła zębatego w samych powiadomieniach. Spowoduje to przejście bezpośrednio do szczegółowej listy.

Firefox

Aby całkowicie wyłączyć powiadomienia w przeglądarce Firefox:

Kliknij trzy poziome paski w prawym górnym rogu paska menu i wybierzopcję Opcje wmenu ustawień.
Po lewej stronie wybierz opcjęPrivacy bezpieczeństwo.
Przewiń w dół dosekcji Uprawnieniai kliknij Powiadomienia.

W wyświetlonym menu zaznacz pole wyboruBlokuj nowe żądania zezwolenia na powiadomieniaznajdujące się na dole.

W tym samym menu można zastosować bardziej szczegółową kontrolę, ustawiając wymienione elementy naBlokuj lubZezwalaj, korzystając zmenu rozwijanego znajdującego się za każdym elementem.

Po zakończeniu kliknij przycisk Zapisz zmiany.

Opera

Jeśli chodzi o powiadomienia push, można zauważyć, jak bardzo Opera i Chrome do siebie podobne.

Otwórz menu, klikając literę O w lewym górnym rogu.
KliknijUstawienia (w systemie Windows)/Preferencje (w systemie Mac).
Kliknij Advanced i wybierz opcjęPrivacy bezpieczeństwo.
Wustawieniach treści (komputer stacjonarny)/ustawieniach witryny (Android) wybierzPowiadomienia.

W Android można usunąć wszystkie elementy jednocześnie lub pojedynczo. Na komputerach stacjonarnych działa to dokładnie tak samo, jak w Chrome. To samo dotyczy dostępu do menu z poziomu samych powiadomień. Kliknij ikonę koła zębatego w powiadomieniu, a zostaniesz przeniesiony do menuPowiadomienia.

Edge

W Edge przejdź dosekcji Ustawienia i więcej wprawym górnym rogu okna przeglądarki, a następnie

Select Ustawienia >Privacy, wyszukiwanie i usługi > Uprawnienia witryn > Wszystkie witryny.
Select , dla której chcesz zablokować powiadomienia, znajdźustawienie Powiadomieniai wybierzopcję Zablokuj zmenu rozwijanego.

Aby zarządzać powiadomieniami z paska adresu przeglądarki:

Aby sprawdzić lub zarządzać powiadomieniami podczas odwiedzania strony internetowej, którą już subskrybujesz, wykonaj poniższe czynności:

Select Wyświetl informacje o witrynie polewej stronie paska adresu.
W sekcjiUprawnienia dla tej witryny >Powiadomienia wybierz opcję Blokuj zmenu rozwijanego.

Safari na Mac

Na komputerze Mac otwórz menu Apple „ ”, a następnie

Wybierz Ustawienia systemu, a następnie kliknij Powiadomieniana pasku bocznym. (Być może trzeba będzie przewinąć w dół).
Przejdź do sekcji Powiadomienia aplikacji, kliknij stronę internetową, a następnie wyłącz opcję Zezwalaj na powiadomienia.

Witryna pozostaje na liście w ustawieniach powiadomień. Aby usunąć ją z listy, należy odmówić witrynie zgody na wysyłanie powiadomień w ustawieniach Safari. ZobaczZmiana ustawień witryn internetowych.

Aby przestać widzieć prośby o zgodę na wysyłanie powiadomień w przeglądarce Safari:

Przejdź do aplikacji Safari na komputerze Mac.
Wybierz Safari> Ustawienia.
Kliknij opcję Witryny internetowe, a następnie kliknij opcję Powiadomienia.
Odznacz opcję Zezwalaj witrynom internetowym na proszenie o zgodę na wysyłanie powiadomień.

Od teraz, gdy odwiedzasz stronę internetową, która chce wysyłać Ci powiadomienia, nie jesteś o to pytany.

Czy te powiadomienia są w ogóle przydatne?

Chociaż możemy sobie wyobrazić pewne sytuacje, w których powiadomienia push mogą okazać się przydatne, nie będziemy mieć Ci za złe, jeśli zdecydujesz się je całkowicie wyłączyć.

Powiadomienia push nie są tylko dla Windows . Użytkownicy Android, Chromebook, MacOS, a nawet Linuksa mogą je widzieć, jeśli korzystają z jednej z obsługujących je przeglądarek: Chrome, Firefox, Opera, Edge i Safari. W niektórych przypadkach przeglądarka nie musi być nawet otwarta, żeby wyświetlać powiadomienia push.

Zachowaj ostrożność i zastanów się dwa razy, zanim klikniesz „Zezwól”.

Wskaźniki kompromisu (IOC)

W trakcie dochodzenia znaleźliśmy i zablokowaliśmy następujące domeny związane z kampanią:

dailyrumour[.]co.nz
edifaqe[.]org
geniusfun[.]co.in
geniusfun[.]co.za
genisfun[.]co.nz
holicithed[.]com
ivenih[.]org
loopdeviceconnection[.]co.in
mindorbittest[.]com
navixzuno[.]co.in
quizcentral[.]co.in
quizcentral[.]co.za
rixifabed[.]org
triviabox[.]co.in
uhuhedeb[.]org
unsphiperidion[.]co.in
yeqeso[.]org
ylloer[.]org

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.