Sea muy cuidadoso al permitir notificaciones web

Un número cada vez mayor de sitios web solicitan a los visitantes que aprueben «notificaciones», modificaciones del navegador que muestran mensajes periódicamente en el dispositivo móvil o de escritorio del usuario. 

En muchos casos, estas notificaciones son benignas, pero varias empresas poco fiables están pagando a los propietarios del sitio para que instalen sus scripts de notificación y luego venden esa vía de comunicación a estafadores y vendedores ambulantes en línea.

Cuando un sitio web que visita solicita permiso para enviar notificaciones y usted aprueba la solicitud, los mensajes emergentes que aparecen aparecen fuera del navegador. Por ejemplo, en los sistemas Microsoft Windows suelen aparecer en la esquina inferior derecha de la pantalla, justo encima del reloj del sistema. Estas llamadas «notificaciones push» se basan en un estándar de Internet diseñado para funcionar de manera similar en diferentes sistemas operativos y navegadores web.

Pero es posible que muchos usuarios no comprendan completamente a qué están dando su consentimiento cuando aprueban notificaciones, o cómo diferenciar entre una notificación enviada por un sitio web y una que aparece como una alerta del sistema operativo u otro programa que ya está instalado en el dispositivo.

Esto es evidente por la aparente escala de la infraestructura detrás de una empresa relativamente nueva con sede en Montenegro llamada PushWelcome , que anuncia la capacidad de los propietarios de sitios para monetizar el tráfico de sus visitantes. El sitio de la compañía actualmente está clasificado por Alexa.com como uno de los 2.000 sitios principales en términos de tráfico de Internet a nivel mundial.si Carlos gracias ya esta instaldo

A los editores de sitios web que se registran en PushWelcome se les pide que incluyan un pequeño script en su página que insta a los visitantes a aprobar las notificaciones. En muchos casos, las solicitudes de aprobación de notificaciones en sí mismas son engañosas, disfrazadas como indicaciones para hacer clic en «Aceptar» para ver material de video, o como solicitudes «CAPTCHA» diseñadas para distinguir el tráfico de bots automatizados de los visitantes reales.

Un anuncio de PushWelcome que promociona el dinero que los sitios web pueden generar para incrustar sus scripts de notificaciones push poco fiables.

La aprobación de notificaciones de un sitio que utiliza PushWelcome permite a cualquiera de los socios publicitarios de la empresa mostrar los mensajes que elijan, cuando lo deseen y en tiempo real. Y casi invariablemente, esos mensajes incluyen notificaciones engañosas sobre riesgos de seguridad en el sistema del usuario, avisos para instalar otro software, anuncios de sitios de citas, medicamentos para la disfunción eréctil y oportunidades de inversión dudosas.

Eso es según un análisis profundo de la red PushWelcome compilado por Indelible LLC , una firma de ciberseguridad con sede en Portland, Oregón. Frank Angiolelli , vicepresidente de seguridad de Indelible, dijo que se puede abusar de las notificaciones fraudulentas para phishing de credenciales, así como para falsificar malware y otras aplicaciones no deseadas en los usuarios.

«Este método se utiliza actualmente para ofrecer algo parecido a la actividad de tipo publicitario o fraude de clics», dijo Angiolelli. «El aspecto preocupante de esto es que no es detectado por los programas de seguridad de endpoints, y existe un riesgo real de que esta actividad pueda usarse para propósitos mucho más nefastos».

Los sitios afiliados a PushWelcome a menudo usan mensajes engañosos para engañar a las personas para que aprueben notificaciones.

Angiolelli dijo que PushWelcome conoce las direcciones de Internet externas, los agentes de usuario del navegador y otra telemetría vinculada a las personas que han aceptado notificaciones, lo que podría darles la capacidad de dirigirse a organizaciones y usuarios individuales con cualquier cantidad de mensajes de sistema falsos.

Indeleble también encontró que las modificaciones del navegador habilitadas por PushWelcome son mal detectadas por los productos antivirus y de seguridad, aunque señaló que Malwarebytes marca de manera confiable como sitios de editores peligrosos que están asociados con las notificaciones.

De hecho, Pieter Arntz de Malwarebytes advirtió sobre las notificaciones push maliciosas del navegador en una publicación de blog de enero de 2019 . Esa publicación incluye instrucciones detalladas sobre cómo saber qué sitios a los que ha permitido enviar notificaciones y cómo eliminarlos.

KrebsOnSecurity instaló las notificaciones de PushWelcome en una nueva máquina de prueba de Windows y descubrió que muy poco después el sistema estaba lleno de alertas sobre amenazas de malware supuestamente encontradas en el sistema. Una notificación fue un anuncio del antivirus Norton ; el otro era para McAfee . Al hacer clic en cualquiera de los dos, finalmente se dirigieron a las páginas «comprar ahora» en Norton.com o McAfee.com.

Al hacer clic en la notificación PushWelcome en la esquina inferior derecha de la pantalla, se abrió un sitio web que afirmaba que mi nuevo sistema de prueba estaba infectado con 5 virus.

Parece probable que PushWelcome y / o algunos de sus anunciantes estén intentando generar comisiones por recomendar a los clientes que compren productos antivirus en estas empresas. McAfee aún no ha respondido a las solicitudes de comentarios. Norton emitió la siguiente declaración:

“No creemos que este actor sea un afiliado de NortonLifeLock. Seguimos investigando este asunto. NortonLifeLock se toma muy en serio el fraude y el abuso de afiliados y supervisa el cumplimiento continuo. Cuando un socio afiliado abusa de sus responsabilidades y viola nuestros acuerdos, tomamos las medidas necesarias para eliminar a estos socios afiliados del programa y terminar rápidamente nuestras relaciones. Además, no se pagan las posibles comisiones ganadas como resultado del abuso. Además, NortonLifeLock envía una notificación a todas nuestras redes de socios afiliados sobre el abuso del afiliado para garantizar que el afiliado no sea elegible para participar en ningún programa de NortonLifeLock en el futuro ”.

Norton

Las solicitudes de comentarios enviadas a PushWelcome por correo electrónico se devolvieron como imposibles de entregar. Las solicitudes enviadas a través del formulario de contacto en el sitio web de la empresa tampoco se enviaron.

Si bien las notificaciones fraudulentas pueden no ser la amenaza más urgente que enfrentan los usuarios de Internet en la actualidad, la mayoría de las personas probablemente desconozcan cómo se puede abusar de esta vía de comunicación.

Además, las redes de notificación poco fiables podrían utilizarse para fines menos conspicuos y engañosos, incluida la difusión de noticias falsas y malware disfrazado de avisos de actualización del sistema operativo del usuario. Espero que quede claro que, independientemente del navegador, dispositivo o sistema operativo que utilice, es una buena idea ser juicioso acerca de los sitios a los que permite entregar notificaciones.

Si desea evitar que los sitios presenten solicitudes de notificación, consulte esta guía , que tiene instrucciones para deshabilitar los mensajes de notificación en Chrome, Firefox y Safari. Hacer esto para cualquier dispositivo que administre en nombre de amigos, colegas o miembros de la familia podría terminar ahorrándoles a todos muchos dolores de cabeza en el futuro.

Fuentes: krebsonsecurity.