Thông báo đẩy trình duyệt, vốn được thiết kế để giúp người dùng duy trì kết nối với các trang web yêu thích, đã trở thành mối đe dọa bảo mật lớn. Một cuộc điều tra gần đây tiết lộ cách thức các kẻ lừa đảo sử dụng thử thách CAPTCHA giả mạo để lừa người dùng kích hoạt các thông báo này, sau đó làm ngập thiết bị của họ bằng spam và nội dung độc hại.
Thủ đoạn này hoạt động bằng cách hiển thị cho người dùng một nút chứng minh bạn là con người trông giống như các bài kiểm tra CAPTCHA hợp pháp thường thấy trên web. Tuy nhiên, việc nhấp vào nút này thực chất là cấp quyền cho các trang web gửi thông báo đẩy trực tiếp đến thiết bị của người dùng. Một khi được kích hoạt, các thông báo này có thể xuất hiện như các cảnh báo hệ thống chính thức, khiến chúng đặc biệt nguy hiểm đối với những người dùng ít am hiểu công nghệ.
Quy mô của vấn đề
Các nhà nghiên cứu bảo mật đã phát hiện ra rằng gần 40% các trang web bị xâm phạm trong năm 2022 đã chuyển hướng khách truy cập đến các kế hoạch thông báo độc hại này. Vấn đề đã trở nên phổ biến đến mức ảnh hưởng đến người dùng trên tất cả các trình duyệt và hệ điều hành chính. Điều đặc biệt đáng lo ngại là cách các thông báo giả mạo thường bắt chước các cảnh báo hệ thống hợp pháp, khiến chúng khó phân biệt với các cảnh báo thực.
Thủ đoạn lừa đảo hoạt động thông qua một mạng lưới chuyển hướng phức tạp, đẩy người dùng qua nhiều tên miền trước khi hiển thị CAPTCHA giả. Kỹ thuật này giúp các trang web độc hại tránh bị phát hiện bởi hệ thống bảo mật và đảm bảo chỉ những người dùng được nhắm mục tiêu mới thấy nội dung lừa đảo.
Thống kê chính từ nghiên cứu bảo mật:
- 40% các trang web bị xâm phạm trong năm 2022 đã chuyển hướng đến các chương trình thông báo độc hại
- Mạng lưới VexTrio được xác định là một trong những hệ thống phân phối lưu lượng truy cập độc hại lớn nhất
- Nhiều lần chuyển hướng trình duyệt được sử dụng để tránh bị phát hiện bởi các hệ thống bảo mật
- Phương pháp CAPTCHA giả mạo nhắm mục tiêu cụ thể vào sự quen thuộc của người dùng với giao diện
Tại sao người dùng lại mắc phải thủ đoạn này
Sự thành công của các kế hoạch CAPTCHA giả này xuất phát từ sự thất vọng của người dùng với các biện pháp bảo mật hợp pháp. Việc duyệt internet hiện đại đòi hỏi người dùng phải điều hướng qua vô số yêu cầu cấp quyền, banner cookie và các bước xác minh. Trong môi trường này, nhiều người đã phát triển tình trạng mệt mỏi với việc nhấp chuột - tự động phê duyệt các yêu cầu chỉ để đến được đích đến mong muốn.
Đó là lỗi của chúng ta khi biến internet thành một mê cung Kafkaesque khó hiểu như vậy. Nhấp nút này, nhấp nút kia, đăng nhập để xác nhận bạn không phải bot... Ranh giới giữa kẻ lừa đảo và công ty công nghệ hiện đại thành thật mà nói là không rõ ràng nữa.
Sự nhầm lẫn này đặc biệt có vấn đề đối với người dùng lớn tuổi, những người có thể không hiểu sự khác biệt giữa thông báo hệ thống hợp pháp và cảnh báo dựa trên trình duyệt. Một khi các kẻ lừa đảo có được quyền thông báo, họ có thể liên tục gửi các pop-up trông như thể đến từ chính hệ điều hành.
Phản ứng của các nhà sản xuất trình duyệt
Các nhà phát triển trình duyệt lớn đã thực hiện nhiều biện pháp khác nhau để chống lại việc lạm dụng thông báo, nhưng vấn đề vẫn tồn tại. Một số trình duyệt hiện giới hạn những trang web nào có thể yêu cầu quyền thông báo, trong khi những trình duyệt khác đã thêm cảnh báo về các yêu cầu đáng ngờ. Tuy nhiên, những biện pháp bảo vệ này thường không đủ để chống lại các chiến thuật kỹ thuật xã hội tinh vi.
Thách thức đối với các nhà sản xuất trình duyệt là cân bằng giữa bảo mật và chức năng. Thông báo đẩy phục vụ các mục đích hợp pháp cho dịch vụ email, ứng dụng nhắn tin và các ứng dụng web khác mà người dùng thực sự muốn nhận cảnh báo. Việc chặn hoàn toàn tính năng này sẽ làm hỏng nhiều dịch vụ hữu ích.
Hướng dẫn Cài đặt Thông báo Trình duyệt:
| Trình duyệt | Đường dẫn Điều hướng | Cài đặt Chính |
|---|---|---|
| Firefox | Settings → Privacy & Security → Permissions → Notifications | "Block new requests asking to allow notifications" |
| Chrome | Settings → Privacy and Security → Site Settings → Notifications | "Don't allow sites to send notifications" |
| Safari | Settings → Websites → Notifications | Bỏ chọn "Allow websites to ask for permission to send notifications" |
| Edge | Settings → Cookies and site permissions → Notifications | Đặt mặc định để chặn tất cả yêu cầu thông báo |
Bảo vệ bản thân
Biện pháp bảo vệ hiệu quả nhất là vô hiệu hóa hoàn toàn các yêu cầu thông báo trong cài đặt trình duyệt của bạn. Tất cả các trình duyệt chính đều cho phép người dùng chặn các trang web yêu cầu quyền thông báo, điều này ngăn chặn cả các yêu cầu hợp pháp và độc hại. Đối với những người dùng cần thông báo từ các trang web đáng tin cậy cụ thể, trình duyệt cũng cung cấp các tùy chọn để quản lý quyền theo từng trang web.
Các chuyên gia bảo mật khuyến nghị đặc biệt thận trọng với bất kỳ yêu cầu cấp quyền bất ngờ nào, đặc biệt là những yêu cầu được ngụy trang thành thử thách CAPTCHA . Các bài kiểm tra CAPTCHA hợp pháp thường bao gồm việc chọn hình ảnh hoặc giải câu đố, không chỉ đơn giản là nhấp vào một nút để chứng minh bạn là con người.
Thủ đoạn lừa đảo thông báo đại diện cho xu hướng rộng lớn hơn của tội phạm mạng khai thác các mẫu giao diện người dùng mà mọi người đã học cách tin tưởng. Khi internet ngày càng trở nên phức tạp, người dùng phải luôn cảnh giác về các quyền họ cấp cho các trang web, ngay cả khi những yêu cầu đó có vẻ thường lệ hoặc cần thiết.
Tham khảo: Inside a Dark Adtech Empire Fed by Fake CAPTCHAS
 |
|---|
| Hiểu rõ bối cảnh phức tạp của an ninh mạng là điều quan trọng để duy trì sự an toàn trước các vụ lừa đảo thông báo |