Las notificaciones automáticas en los navegadores se introdujeron hace varios años como una herramienta útil para mantener informados de forma regular a los lectores acerca de nuevas actualizaciones. Sin embargo, ahora se utilizan a menudo para bombardear con anuncios no solicitados a los visitantes del sitio web o incluso para animarlos a descargar software malicioso. Las funciones útiles y amigables como las notificaciones push son herramientas fáciles de usar para llevar a cabo estafas basadas en técnicas de ingeniería social y, por ello, su creciente popularidad no es del todo inesperada. A raíz de las recientes estafas en las invitaciones de calendario detectadas por Kaspersky, los expertos de la compañía decidieron profundizar en las relacionadas con las notificaciones push y el phishing para descubrir cómo se abusa de esta herramienta.
Dado que se requiere el consentimiento de un usuario para comenzar a enviar notificaciones, los atacantes han ideado múltiples formas, a menudo “listas para usar”, de engañar y obligar a los usuarios a suscribirse. Las opciones detectadas incluyen:
- Disfrazar el consentimiento con otro tipo de acción. Por ejemplo, por un “captcha”.
- Intercambiar los botones `aceptar y `declinar” en las alertas de suscripción
- Mostar notificaciones desde páginas de phishing casi idénticas a las legítimas
- Mostrar ventanas emergentes de suscripciones fraudulentas en sitios web
Después de obtener el consentimiento del usuario, los atacantes les bombardean con mensajes. Las opciones menos dañinas (y las más populares) son los anuncios cebo sobre temas sociales sensibles; mientras que otras incluyen notificaciones fraudulentas, como premios en loterías, ofertas de dinero a cambio de completar una encuesta o similar. Los sistemas más sofisticados están dirigidos a robar dinero a los usuarios utilizando técnicas de phishing.
Un esquema muy común utiliza mensajes que se hacen pasar por notificaciones del sistema, como las alertas de infección de virus. Éstos redirigen a los usuarios a copias de sitios web de confianza y, a continuación, les piden que descarguen varias utilidades de “limpieza de PC” de pago. Sin embargo, el potencial de las notificaciones push que se utilizan para tales estafas no se limita a eso.
“Hemos observado un aumento en el abuso de las notificaciones push, a medida que los atacantes continúan buscando formas creativas de utilizar las nuevas tecnologías para engañar a los usuarios. Debido a que esta característica está muy extendida y es fácil de aprovechar a través de esquemas de ingeniería social, se ha producido un rápido crecimiento en el número de usuarios afectados. Las notificaciones push son una herramienta muy útil para los usuarios, que les ayuda a mantenerse al tanto sobre temas que les interesan. Sin embargo, como con cualquier otro asunto en Internet, es necesario estar atentos y ser cautelosos cuando interactuamos con los mensajes pop-ups y permitir solo las notificaciones push si estamos completamente seguros de que las alertas son útiles y provienen de fuentes fiables”, señala Artemy Ovchinnikov, investigador de seguridad de Kaspersky.
Para no recibir notificaciones molestas o fraudulentas, Kaspersky recomienda:
- Si es posible, bloquee las ofertas de suscripciones, a menos que provengan de sitios conocidos y verificados. Incluso en este caso, vigile para no ser redirigido a un sitio falso.
- Si no pudo evitar la suscripción no solicitada, recuerde que la puede bloquear en la configuración del navegador.
- Utilice soluciones de protección como Kaspersky Security Cloud que puedan bloquear notificaciones y suscripciones fraudulentas, eliminar las suscripciones no deseadas ya aceptadas y que incorpore anti-phishing.
