糗!按下允許按鈕,壯陽藥廣告竟跳不停!新型點擊詐欺 (Click Fraud)利用瀏覽器通知功能,誘騙使用者

工作到一半彈跳出網路交友、壯陽藥的廣告,實在有夠糗!
大規模點擊詐欺 (Click Fraud)正流行,三月份開始,便有使用者陸續回報在使用 Chrome 和 Edge 瀏覽器上網時,會不時彈出一些不請自來廣告,針對亞洲用戶會彈跳出兒童不宜的廣告。
原來是用戶瀏覽了一些專門誘騙使用者接受瀏覽器推播通知的網站,這些3,500 多個所謂的門戶網頁以色情網站、運動賽事串流、影音串流誘導用戶。瀏覽這些網站時通常載入到一半,使用者必須點選彈出視窗上的「Allow」(允許) 按鈕才能繼續,這時不疑有他的受害者就上鉤了!

由於新冠肺炎(COVID-19)疫情又起,許多國家都再一次實施封城與管制,很多人因此受困在家。無聊的生活,再加上正逢許多大型運動賽事舉辦期間,全球運動迷們紛紛湧入影音串流網站觀賞賽事,但也因此不小心成了大規模點擊詐欺 (Click Fraud)的受害者。

由於疫情又起,許多國家都再一次實施封城與管制,很多人因此受困在家。無聊的生活,再加上正逢許多大型運動賽事舉辦期間,全球運動迷們紛紛湧入影音串流網站觀賞賽事,但也因此不小心成了大規模點擊詐欺 (Click Fraud)的受害者。

瀏覽器推播通知是一項可讓網站發送通知訊息給訂閱用戶的瀏覽器功能。Chrome 瀏覽器在 2015 年推出 瀏覽器通知功能來讓網站推播有關新內容或新文章的訊息給訂閱用戶。使用者若允許網站發送瀏覽器通知,該網站就可以推播通知訊息至瀏覽器。

然而一些不道德的廣告業者,卻趁著越來越多人被迫困在家中觀賞影音串流的機會,透過瀏覽器通知來從事一種特殊的點擊詐欺 (Click Fraud) 廣告推播。趨勢科技注意到這類垃圾訊息在 2 月份突然增加。

編按:
一般的點擊欺詐(Click fraud)是一種大量點擊網路廣告的欺詐行為。詐騙者甚至雇用低價勞工以及機器人點擊網站上的廣告,以賺取傭金。由於網路廣告是透過點擊次數來計算收費,也有競爭對手以這種非自然的方式點擊廣告, 讓對手的廣告支出增加。

圖 1:使用者被重導至瀏覽器通知垃圾訊息網站的連線流量。Figure 1. User traffic being redirected to browser notification spam websites
圖 1:使用者被重導至會自動彈出廣告/垃圾訊息網站的連線流量。

 


濫用瀏覽器通知功能,可說是違背了使用者的信任,垃圾郵件集團利用此功能來賺取點擊詐欺 (Click Fraud)收入,並利用令人心生畏懼及誤導的通知訊息來誘騙人們接受通知。

毫不考慮按下允許按鈕, 開啟瀏覽器通知垃圾訊息的大門


三月分開始,便有使用者陸續回報他們在使用 Chrome 和 Edge 瀏覽器來上網時,會不時彈出一些不請自來的廣告。經過我們初步調查發現,這些彈出式廣告通常來自一些專門誘騙使用者接受瀏覽器推播通知的網站。 

圖 2:瀏覽器通知網站載入到一半,使用者必須點選彈出視窗上的「Allow」(允許) 按鈕才能繼續。Figure 2. Browser notification site is loading; the user must click “allow” on the pop-up to continue.
圖 2:瀏覽器通知網站載入到一半,使用者必須點選彈出視窗上的「Allow」(允許) 按鈕才能繼續。


使用者在透過 Chrome 和 Edge 瀏覽器來上網時,經常可以看到這類瀏覽器通知,有些使用者甚至在看到這類彈出視窗時會毫不考慮按下允許按鈕。

📍提醒大家:上網時跳出對話框,未確認內容前,千萬不可隨意按下「同意」、「OK」、「Allow」等選項。⁣
若同意了上述通知,除了本文的案例,犯罪者也會利用這項瀏覽器功能傳送假警告或假訊息,包含: 偽裝成防毒軟體的中毒警告假通知、偽裝成警告或中獎等的假通知!

延伸閱讀:【證明你不是機器人】後,假中毒警告跳不停? CAPTCHA 驗證機制被網路釣魚利用!

3,500 多個門戶網頁以色情網站、運動賽事串流、影音串流誘導用戶

通常,使用者是因為瀏覽了一些會轉址的門戶網頁 (doorway page) 而被帶到瀏覽器通知垃圾訊息 (browser notification spam ,簡稱 BNS) 網站,這類門戶網頁似乎都是專為引誘使用者上門,然後將使用者帶到 BNS 網站而設計。目前我們總共發現了 3,500 多個網域會將使用者帶到 80 個 BNS 網站。根據其 IP 範圍與註冊資訊,我們認為許多門戶網頁都是由這波攻擊行動背後的同一個駭客或駭客集團所製作。

這波攻擊行動用到的一些網站在我們觀察到的流量當中占很大一部分,包括:

  • allowsuccess.org
  • aloha-news.net
  • beastbuying.com
  • centralheat.net
  • news-back.net
  • news-central.org
  • typiccor.com

這 3,500 多個門戶網頁所針對的使用者興趣相當廣泛,其中大多數是色情網站,此外,運動賽事串流、影音串流、影音分享、DIY 部落格等等也相當常見。有些門戶網頁甚至已在地化,有各種語言的網頁,包括:印尼文、中文及日文。我們甚至看過在日本地區提供盜版動漫的門戶網頁,顯示歹徒在架設網站時並非亂槍打鳥,而是確實掌握了各地的國情,知道什麼內容可以吸引什麼國家的使用者。 

Doorway page leading to browser notification spam
圖 3 和 4:兩個導向 BNS9瀏覽器通知垃圾訊息網站)的門戶網頁。
Figures 3 and 4. Screenshots from two doorway pages leading to browser notification spam
圖 3 和 4:兩個導向 BNS9瀏覽器通知垃圾訊息網站)的門戶網頁。

門戶網頁除了散播垃圾訊息之外,其網頁還可能會用到一些侵犯著作權的內容。在日本,版權動漫的使用有著相當嚴格的規範。

彈出的廣告內容視使用者所在地區而定



此波攻擊的最終目的,是要將使用者導向訊息所彈出廣告的網站,其廣告的文字和圖片都會根據使用者的 IP 位址而在地化。北美地區的使用者所看到的內容,與拉丁美洲或亞洲的使用者所看到的內容不同。以下三則範例是分別針對巴西和日本使用者而在地化的廣告: 

圖 5:針對巴西使用者而在地化的 McAfee 廣告。Figure 5. McAfee advertisement localized for users in Brazil
圖 5:針對巴西使用者而在地化的 McAfee 廣告。


圖 6:針對巴西使用者而在地化的 Norton 廣告。Figure 6. Norton advertisement localized for users in Brazil
圖 6:針對巴西使用者而在地化的 Norton 廣告。


Figure 7. McAfee advertisement localized for Japan
圖 7:針對日本使用者而在地化的 McAfee 廣告。


使用者若點選這些彈出式廣告上的續約按鈕,就會被帶到 McAfee 和 Norton 360 的官方網路商店。

我們很訝異看到這類彈出式垃圾通知訊息竟然頻繁散播廣告希望使用者購買合法資安軟體。這顯然是一種非常特殊的詐騙,歹徒的用意似乎是要誘騙更多使用者前往資安軟體公司的網站來賺取更多收入。

在美國地區,我們所看到的大部分都是 Norton 和 McAfee 的廣告,不過我們也看過酷碰券 (coupon) 自動蒐集軟體「Honey」瀏覽器延伸功能的廣告。


圖 8:酷碰券自動蒐集軟體 Honey 的 Chrome 瀏覽器延伸功能。Figure 8. Honey Chrome extension

圖 8:酷碰券自動蒐集軟體 Honey 的 Chrome 瀏覽器延伸功能。

不斷跳出壯陽藥廣告,真糗!


至於美國以外地區的使用者所看到的廣告就比較多元,比如關於網路交友、壯陽藥之類的廣告。

Figure 9. An enhancement drug advertisement served for users from Asia
圖 9:亞洲地區使用者看到的壯陽藥廣告。


攻擊流程

以下是這波攻擊的流程示意圖:

圖 10:攻擊流程。
Figure 10. Infection chain
圖 10:攻擊流程。


這張圖完整顯示了從門戶網頁到 BNS 網站,再到最終廣告的整個過程。值得注意的是,這些廣告似乎是專為最近這波垃圾訊息而製作,因為大多數的網域都是過去幾個月內才註冊的。

3 招避開不斷轟炸的瀏覽器推播廣告


由於這波垃圾訊息攻擊似乎仍在持續當中,我們已針對可能的濫用情況通知了 McAfee 和 Norton 公司。而 Google 也正在掃蕩濫用瀏覽器通知功能的情形,尤其要防止這類通知「誤導使用者、利用網路釣魚騙取私密資訊,或是推銷惡意程式。」

使用者在整個轉址的過程當中很可能完全不會察覺自己受騙,尤其是那些真的有在使用 McAfee 或 Norton 360 軟體且訂閱已經到期的使用者。以下提供一些可幫助使用者避開這波或類似垃圾訊息攻擊的建議:

  1. 避免瀏覽非信任的網站。使用者應該到信譽良好的網站來觀賞影音內容或尋找符合自己興趣的內容,以避開這類垃圾訊息的風險。
  2. 使用者在接受瀏覽器通知時應保持警戒。因為,只要一開始就不允許通知,這波垃圾訊息便無機可乘。Google 提供了一段輔助教學來教使用者如何啟用及停用 Chrome 瀏覽器通知。
  3. 彈出視窗阻擋功能是防止瀏覽器被重新導向的不錯方式。當使用者看到彈出視窗時,如果對彈出的內容有興趣,應直接用瀏覽器前往廣告推薦的網站,而非點選廣告。

趨勢科技PC-cillin 可攔截瀏覽器通知所指的網站,避免使用者被頻繁的廣告所騷擾或誘騙。 

原文出處:Browser Notification Spam Tricks Clicks for Ad Revenue 作者:Erin Sindelar

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
FBIGYoutubeLINE官網