https://www.bama.hu/wp-content/uploads/2019/12/+otf/1470x600/GbDhVMlsPv13aXP5gnIzxU5PVF9WRVJZX1NFQzeKwBCrjp3+Te47uAp9h9qqEIf3Um1mOfy8ZJDZYupv/atvereslaptopszamitogepinternetshutterstock420479854-1.jpg — Fotó: Shutterstock

TÜRELEMJÁTÉK

Ezek nem „ártatlan” dolgok: ne nyomja meg a gombot!

09 Dec 2019, 13:14

Hány másodperc is telik el, míg az OK gomb megpillantásától eljutunk odáig, hogy önműködően kattintunk?

Azokról az egyszerű kis üzenetekről van szó, amelyek az internetes böngésző használatakor felugranak, s valami ilyesmit jelenítenek meg:

ha szeretne értesülni a friss hírekről, kattintson ide!

Többnyire az Igen és a Most még nem opciók jelennek meg: a felhasználó gyakran csípőből az Igen/OK gombot nyomja, hogy hamarabb szabaduljon.

Az még egy dolog, hogy az ilyen, úgynevezett böngészős push-értesítések lenyomása után elképesztő mennyiségű, nehezen kikapcsolható, információnak álcázott reklámtömeg zúdul majd ránk.

Ám a push értesítéseket ma már sokszor arra használják, hogy kéretlen reklámokkal bombázzák a weboldal látogatókat, sőt,

akár kártékony szoftverek letöltésére buzdítsák őket.

A hasznos felhasználóbarát funkciók, mint amilyenek ezek a push-értesítések is, igen könnyen használhatók pszichológiai manipulációra épülő átverésekhez, éppen ezért használatuk egyre terjed.

A Kaspersky által a közelmúltban felfedezett, úgynevezett naptármeghívós átverés miatt a szakemberek mélyebbre ástak a push-értesítéses átverésekbe és adathalászatba, hogy megtudják, miként lehet visszaélni ezzel az eszközzel.

Mivel az értesítések küldéséhez a felhasználó hozzájárulása szükséges, a támadók többféle, sokszor

szemfényvesztő, szokatlan módszert találtak ki,

hogy rávegyék az embereket a feliratkozásra. Az észlelt módszerek a következők:

Más műveletnek, például CAPTCHA-tesztnek álcázzák a feliratkozási hozzájárulást
A művelet közben felcserélik az „elfogad” és az „elutasít” gombokat a feliratkozási figyelmeztetésekben
A népszerű weboldalak adathalász másolatairól érkező értesítéseket jelenítenek meg
Csaló feliratkozási felugró ablakokat jelenítenek meg a weboldalakon

A felhasználó hozzájárulásának megszerzését követően a támadók elkezdik őt üzenetekkel bombázni. A legártalmatlanabb (de mégis a legnépszerűbb) változatot az érzékeny társadalmi témákkal kapcsolatos kattintásvadász reklámok jelentik, míg más üzenetek csaló értesítéseket tartalmaznak – például lottónyereményről értesítenek, néha pénzt ajánlanak fel egy felmérés kitöltéséért vagy valami hasonlóért cserében.

A kifinomultabb módszerek arra irányulnak, hogy adathalász technikákkal pénzt csaljanak ki a felhasználókból.

https://kpi.mediaworks.hu/wp-content/uploads/2019/12/kasperskyillusztracio.png — Példa egy Microsoft Windows rendszerfrissítésnek álcázott adathalász értesítésre

Gyakori módszer, hogy az üzeneteket értesítéseknek – például vírusfertőzés-riasztásoknak – álcázzák.

Ezek megbízható weboldalak adathalász másolataira irányítják át a felhasználókat, majd például arra utasítják őket, hogy töltsenek le különféle „számítógép-tisztító” segédprogramokat.

Jellemző, hogy a push értesítésektől szabadulást ígérő oldalak is push értesítéseket tolnak a felhasználó orra elé

A biztonsági cég szerint az alábbiak betartásával elkerülhetjük, hogy bosszantó értesítéseket vagy csaló reklámokat kapjunk:

Ha lehetséges, blokkoljunk minden feliratkozási ajánlatot, kivéve, ha azok népszerű és kifejezetten megbízható weboldalakról származnak. Maradjunk éberek, és figyeljünk, hogy nem hamis weboldalra irányítanak-e át.
Ha nem tudjuk elkerülni a nem kívánt feliratkozást, blokkoljuk azt a böngészők beállításaiban
Kezdjünk el megbízható biztonsági megoldást használni, például a Security Cloud alkalmazást, amely blokkolja a böngészőkben a reklámokat és a csaló feliratkozási ajánlatokat a push-értesítésekre, törölni tudja a már jóváhagyott feliratkozásokat, és adathalász-ellenes funkcióval is rendelkezik.