Scammer menyalahgunakan Pemberitahuan, Push API, dan Google Chrome pada perangkat Android untuk mengirimkan spam peringatan missed-call palsu.
Kedua API digunakan pada perangkat seluler untuk push-notification. Pesan-pesan dapat dipicu oleh aplikasi lokal atau server, terlepas dari apakah aplikasi sedang berjalan atau tidak.
Scammer mengubah ikon Chrome
Layanan Lookout Phishing AI menangkap operasi phishing yang saat ini mengirimkan pesan ke pengguna seluler dengan ikon khusus untuk aplikasi yang memicu peringatan, yang dalam hal ini adalah Google Chrome.
Untuk menyamarkan asal, scammer mengubah ikon browser untuk menampilkan peringatan missed-call palsu seolah-olah itu adalah pemberitahuan panggilan tidak terjawab yang asli. Pesan itu memberitahukan bahwa pengguna memiliki iPhone XS yang menunggu mereka.
Ini adalah social engineering yang kuat karena pengguna sering mengandalkan indikator visual untuk mengidentifikasi asal peringatan.
Penting untuk dicatat bahwa pesan tidak ditampilkan kecuali korban memutuskan untuk menerima pemberitahuan dari domain spam. Ini berarti bahwa situs yang mendapat kepercayaan dari pengguna dapat digunakan untuk oprasi phishing jenis ini.
Di bawah ini adalah daftar singkat domain yang melayani spam melalui push-notification pada perangkat seluler:
- consumertestconnect.com
- foundmoneyguide.com
- getitfree-samples.com
- click4riches.info
- yousweeps.com
Tidak semua spam pemberitahuan menggunakan trik mengubah ikon peramban, tetapi mereka memiliki pesan yang cukup memikat untuk mengklaim beberapa korban.
Pendekatan yang sama dimungkinkan terjadi pada desktop
Jeremy Richards, seorang peneliti keamanan di Lookout, melihat kegiatan ini di ponsel Android dan alasannya adalah karena pemberitahuan push untuk Safari di iOS saat ini tidak sepenuhnya didukung; tetapi pendekatan yang sama juga cocok untuk desktop. Safari dan Chrome mendukung pemberitahuan berbasis web dan dapat digunakan untuk spawn kartu palsu.
Membaca teks dengan cepat dan melihat ikon Slack dapat dengan mudah membodohi pengguna agar mengklik lansiran dan mengunjungi laman phishing.
Di perangkat seluler, lansiran yang sama bahkan lebih kredibel, karena satu-satunya hadiah adalah nama Chrome, aplikasi yang memicu pemberitahuan, dan domain yang mendorong spam. Saat ikon Chrome diubah, ada sedikit petunjuk tentang sifat pesan yang dipalsukan, karena hanya nama browser dan domain yang menunjukkan upaya penipuan.
.jpg)
Software engineer Google, Peter Beverloo, membuat generator notifikasi yang dapat digunakan untuk menguji bagaimana kartu push muncul pada desktop dan perangkat seluler.
Alat ini memungkinkan pengetikan judul dan isi khusus untuk pesan serta menambahkan bermacam-macam gambar (ikon, lencana, gambar) dan tindakan.
