Los estafadores están abusando de las Notificaciones y las API Push y Google Chrome en los dispositivos Android para impulsar las alertas de spam personalizadas para que parezcan una llamada telefónica perdida.
Las dos API se utilizan en dispositivos móviles para notificaciones push, alertas cortas diseñadas para volver a involucrar al usuario. Los mensajes pueden ser activados por una aplicación local o un servidor, independientemente de si la aplicación se está ejecutando o no.
"La API de notificaciones nos permite mostrar notificaciones al usuario. Es increíblemente potente y fácil de usar. Siempre que sea posible, utiliza los mismos mecanismos que una aplicación nativa, lo que da una apariencia completamente nativa", lee la descripción de las Notificaciones API.
Los estafadores cambian el icono de Chrome
El servicio AI de Phishing de Lookout captó una campaña de phishing que actualmente está enviando mensajes a los usuarios móviles con un icono personalizado para la aplicación que activa la alerta, que en este caso es Google Chrome.
Para disimular el origen, los estafadores cambiaron el ícono del navegador para leer "Llamada perdida" como si fuera una notificación de llamada perdida. El mensaje anuncia que el usuario tiene un iPhone XS esperándolos.
Esta es una ingeniería social poderosa, ya que los usuarios a menudo se basan en indicadores visuales para identificar el origen de una alerta.
"Los estafadores buscan aprovechar el hecho de que estamos preparados para identificar ciertos íconos que normalmente asociamos con los mensajes del sistema (en este caso, el ícono del teléfono)", dijo a BleepingComputer Jeremy Richards, investigador de seguridad de Lookout.
Es importante tener en cuenta que el mensaje no se muestra a menos que la víctima decida aceptar notificaciones del dominio de spam. Esto significa que los sitios que se ganaron la confianza del usuario pueden usarse para este tipo de campañas de phishing.
A continuación se muestra una breve lista de los dominios que sirven spam a través de notificaciones push en dispositivos móviles: consumertestconnect.com, foundmoneyguide.com, getitfree-samples.com, click4riches.info, yousweeps.com
No todas las notificaciones de spam utilizan el truco de cambiar el ícono del navegador, pero tienen mensajes que son lo suficientemente atractivos como para reclamar algunas víctimas.
Richards vio esta actividad en teléfonos móviles con Android y la razón de esto es que las notificaciones push para Safari en iOS no son totalmente compatibles en este momento; Pero el mismo enfoque es adecuado para el escritorio, también. Safari y Chrome admiten notificaciones basadas en la web y pueden utilizarse para generar una tarjeta falsa.
Una lectura rápida del texto y ver el ícono de Slack podrían engañar fácilmente a un usuario para que haga clic en la alerta y aterrice en una página de phishing que captura las credenciales.
En dispositivos móviles, la misma alerta es aún más creíble, ya que los únicos obsequios serían el nombre de Chrome, la aplicación que activa la notificación y el dominio que envía el correo no deseado. Cuando se cambia el ícono de Chrome, hay poco que insinuar la naturaleza falsificada del mensaje, ya que solo el nombre del navegador y el dominio indican el intento de fraude.
Fecha actualización el 2021-05-24. Fecha publicación el 2019-05-24. Categoría: llamadas perdidas Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil