Notifikasi tolak pelayar, yang pada asalnya direka untuk membantu pengguna kekal berhubung dengan laman web kegemaran mereka, kini telah menjadi ancaman keselamatan yang besar. Siasatan terkini mendedahkan bagaimana penipu menggunakan cabaran CAPTCHA palsu untuk memperdaya pengguna supaya membolehkan notifikasi ini, yang kemudiannya membanjiri peranti mereka dengan spam dan kandungan berniat jahat.
Skim ini berfungsi dengan mempersembahkan pengguna dengan apa yang kelihatan seperti butang buktikan anda manusia yang standard, serupa dengan ujian CAPTCHA yang sah yang terdapat di seluruh web. Walau bagaimanapun, mengklik butang ini sebenarnya memberikan kebenaran untuk laman web menghantar notifikasi tolak terus ke peranti pengguna. Setelah dibolehkan, notifikasi ini boleh muncul sebagai amaran sistem rasmi, menjadikannya amat berbahaya untuk pengguna yang kurang mahir teknologi.
Skala Masalah
Penyelidik keselamatan telah menemui bahawa hampir 40% laman web yang terjejas pada tahun 2022 telah mengalihkan pelawat kepada skim notifikasi berniat jahat ini. Masalah ini telah menjadi begitu meluas sehingga ia menjejaskan pengguna di semua pelayar utama dan sistem pengendalian. Apa yang menjadikan ini amat membimbangkan ialah bagaimana notifikasi palsu sering meniru amaran sistem yang sah, menjadikannya sukar untuk dibezakan daripada amaran sebenar.
Penipuan ini beroperasi melalui rangkaian pengalihan yang kompleks yang melantunkan pengguna melalui pelbagai domain sebelum mempersembahkan CAPTCHA palsu. Teknik ini membantu laman berniat jahat mengelak pengesanan oleh sistem keselamatan dan memastikan hanya pengguna yang disasarkan melihat kandungan yang memperdaya.
Statistik Utama daripada Penyelidikan Keselamatan:
- 40% laman web yang terjejas pada tahun 2022 mengalihkan kepada skim pemberitahuan berniat jahat
- Rangkaian VexTrio dikenal pasti sebagai salah satu sistem pengedaran trafik berniat jahat yang terbesar
- Pelbagai pengalihan pelayar digunakan untuk mengelakkan pengesanan oleh sistem keselamatan
- Kaedah CAPTCHA palsu secara khusus menyasarkan kebiasaan antara muka pengguna
Mengapa Pengguna Terjebak dengan Helah Ini
Kejayaan skim CAPTCHA palsu ini berpunca daripada kekecewaan pengguna dengan langkah keselamatan yang sah. Pelayaran internet moden memerlukan pengguna untuk menavigasi permintaan kebenaran yang tidak terkira banyaknya, sepanduk kuki, dan langkah pengesahan. Dalam persekitaran ini, ramai orang telah mengalami keletihan klik - secara automatik meluluskan permintaan hanya untuk sampai ke destinasi yang dimaksudkan.
Ini adalah kesalahan kita sendiri kerana menjadikan internet sebagai labirin Kafkaesque yang mengelirukan. Klik butang ini, klik butang itu, log masuk untuk mengesahkan anda bukan bot... Garis antara penipu dan syarikat teknologi moden sejujurnya tidak jelas lagi.
Kekeliruan ini amat bermasalah untuk pengguna warga emas, yang mungkin tidak memahami perbezaan antara notifikasi sistem yang sah dan amaran berasaskan pelayar. Setelah penipu memperoleh kebenaran notifikasi, mereka boleh terus menghantar pop-up yang kelihatan datang daripada sistem pengendalian itu sendiri.
Respons Pembuat Pelayar
Pembangun pelayar utama telah melaksanakan pelbagai langkah untuk memerangi penyalahgunaan notifikasi, tetapi masalah ini berterusan. Sesetengah pelayar kini mengehadkan laman mana yang boleh meminta kebenaran notifikasi, manakala yang lain telah menambah amaran tentang permintaan yang mencurigakan. Walau bagaimanapun, perlindungan ini sering gagal menentang taktik kejuruteraan sosial yang canggih.
Cabaran untuk pembuat pelayar ialah mengimbangi keselamatan dengan kefungsian. Notifikasi tolak mempunyai tujuan yang sah untuk perkhidmatan e-mel, aplikasi pemesejan, dan aplikasi web lain yang pengguna benar-benar mahu terima amaran daripadanya. Menyekat sepenuhnya ciri ini akan merosakkan banyak perkhidmatan yang berguna.
Panduan Tetapan Notifikasi Pelayar:
| Pelayar | Laluan Navigasi | Tetapan Utama |
|---|---|---|
| Firefox | Settings → Privacy & Security → Permissions → Notifications | "Block new requests asking to allow notifications" |
| Chrome | Settings → Privacy and Security → Site Settings → Notifications | "Don't allow sites to send notifications" |
| Safari | Settings → Websites → Notifications | Nyahtanda "Allow websites to ask for permission to send notifications" |
| Edge | Settings → Cookies and site permissions → Notifications | Tetapkan lalai untuk menyekat semua permintaan notifikasi |
Melindungi Diri Anda
Perlindungan yang paling berkesan ialah melumpuhkan permintaan notifikasi sepenuhnya dalam tetapan pelayar anda. Semua pelayar utama membenarkan pengguna menyekat laman daripada meminta kebenaran notifikasi, yang menghalang kedua-dua permintaan yang sah dan berniat jahat. Untuk pengguna yang memerlukan notifikasi daripada laman dipercayai tertentu, pelayar juga menawarkan pilihan untuk menguruskan kebenaran berdasarkan laman demi laman.
Pakar keselamatan mengesyorkan supaya berhati-hati dengan sebarang permintaan kebenaran yang tidak dijangka, terutamanya yang menyamar sebagai cabaran CAPTCHA . Ujian CAPTCHA yang sah biasanya melibatkan pemilihan imej atau menyelesaikan teka-teki, bukan sekadar mengklik butang untuk membuktikan anda manusia.
Penipuan notifikasi mewakili trend yang lebih luas di mana penjenayah siber mengeksploitasi corak antara muka pengguna yang orang telah belajar untuk mempercayai. Apabila internet menjadi semakin kompleks, pengguna mesti kekal berwaspada tentang kebenaran yang mereka berikan kepada laman web, walaupun permintaan tersebut kelihatan rutin atau perlu.
Rujukan: Inside a Dark Adtech Empire Fed by Fake CAPTCHAS
 |
|---|
| Memahami landskap keselamatan siber yang kompleks adalah penting untuk mengekalkan keselamatan daripada penipuan notifikasi |