Simovits

Captcha virus

Push-meddelanden

Sedan Windows 10 uppdateringen i april 2018 för Microsoft Edge och Chrome version 42 stöds ett API som heter Push API [1][2]. Detta API beskrivs som en länge eftertraktad funktionalitet som gör att användare kan prenumerera på push-meddelanden från sina favoritsidor.

Nu är det dock så att inte bara välvilliga aktörer använder Push API. Pop-up fönster som säger att datorn är infekterad med virus eller dylikt har använts länge för att lura användare att ladda ner skadlig kod eller oönskade program. Att denna funktionen inte skulle missbrukas på samma sätt är och förblir önsketänkande.

Vad som gör att push-meddelanden är värre än vanliga popup-fönster i webbläsaren är att notifieringarna dyker upp från meddelandefältet i Windows på Windows datorer vilket användare inte kopplar till webbläsaren och litar på i större utsträckning som en pålitlig källa. Dessa notifieringar dyker även upp nästa gång användaren startar sin webbläsare som har den bedrägliga prenumerationen.

Bilder på push-meddekabdeb användaren kan få efter att blivit lurad av ett captcha-virus.

Captcha-virus

Nu är frågan, godkänner användare verkligen push-meddelanden från konstiga sidor? Svaret på frågan är dock tyvärr ofta – ja. Angripare vet att användare slentrianmässigt klickar på “tillåt” i webbläsaren och genom att försöka efterlikna ett bekant moment som robotfilter (Eng: captcha) luras ännu fler användare att klicka på godkänn. Det är detta som används av så kallade captcha-virus.

En av många captcha-virus sidor som lurar användaren att tillåta push-meddelanden från bedrägliga sidor.

Dessa captcha-virus poppar upp som svampar ur jorden med nya domännamn innan de förhoppningsvis tas ned eller åtminstone hamnar på listor över bedrägliga sidor som webbläsare använder. Ofta läggs dessa sidor in som omdirigeringssidor av mindre nogräknade reklamplattformar. Då dyker sidorna upp när användaren klickar på en extern länk som är tänkt att leverera en omdirigeringssida med reklam men istället levererar en captcha-virussida.

Stänga av push-meddelanden

För att bli av med captcha-virus behöver man stänga av prenumerationen i webbläsaren som prenumerationen är gjord i och ta bort eventuell skadlig kod som användaren lurats att installera. En skanning efter skadlig kod av ett betrott antivirusprogram eller ominstallation rekommenderas. Det har observerat att även klick på krysset för att stänga notifieringarna öppnar bedrägliga sidor.

Tillvägagångssättet är exakt lika dant för Google Chrome och Microsoft Edge.

  1. Öppna applikationsmenyn ☰ i övre högra hörnet och välj Inställningar
  2. Sök efter notifieringar
  3. Öppna inställningarna för notifieringar och klicka på ☰ och ta bort för att avluta den prenumeration som önskas avslutas
Inställningarna för push-notifieringar i Google Chrome.

Eventloggning i Windows

Eventloggning av när push-meddelanden skickas loggas för de skapade i Microsoft Edge som event ID 1010 i Windows\PushNotifications-Platform\Operational-loggarna. Notifieringar från Google Chrome verkar dock inte loggas här.

Push-notifieringar från Edge loggas som event ID 1010 i Windows\PushNotifications-Platform\Operational loggarna.

Referenser

[1] https://developer.chrome.com/blog/push-notifications-on-the-open-web/

[2] https://blogs.windows.com/msedgedev/2018/05/22/get-started-web-push-notifications-tutorial-demo/

Publicerat 2022-04-11 Skrivet av Daniel Hedencrona