推送通知是許多網站用來吸引用戶參與的一種常見功能。然而，當這些通知被惡意利用時，會發生什么？Infoblox威脅情報副總裁Renée Burton最近分享了她在這一令人擔憂趨勢中的親身經歷。

推送通知陷阱

Renée發現，當用戶訪問一個請求發送通知權限的網站時，他們可能會在不知不覺中為騙子提供了一個強大的工具。網絡犯罪分子利用這一點，誘使用戶在不完全理解后果的情況下接受通知。一旦用戶同意，他們就會被鋪天蓋地的誤導性信息轟炸，這些信息會將他們重定向到欺詐性內容。

這些誤導性信息通常偽裝成來自谷歌或沃爾瑪等可信品牌的官方提醒。它們可能會謊稱用戶的賬戶已被入侵，或者他們已經贏得了一張禮品卡。點擊這些通知可能會導致用戶下載有害應用或泄露個人信息。

禮品卡騙局

作為調查的一部分，Renée訪問了使用推送通知詐騙的網站，并觀察到騙子如何通過承諾豐厚獎品來引誘用戶。例如，一條通知可能會聲稱接收者贏得了價值$10,000的沃爾瑪禮品卡，誘使用戶點擊。然而，用戶并未獲得獎品，而是被重定向到多個域名，最終進入一個欺詐網站。

為了“領取”禮品卡，用戶需要提供包括電子郵件和家庭住址在內的個人信息。在許多情況下，他們還必須完成一項調查才能“獲勝”。然而，這項調查永遠不會結束，使用戶陷入無休止的廣告和數據收集計劃中。

一系列推送禮品卡詐騙的電子郵件截圖（來源：Renée Burton – Infoblox）

調查問卷騙局

Renée發現，調查問卷騙局是騙子常用的手段之一。點擊承諾獎品的通知后，用戶會被引導至類似reward-locker.com的網站。這些網站以確認資格為由，要求用戶提供姓名、電子郵件、地址和電話號碼等個人信息。

一旦用戶提供了這些信息，他們就需要完成一系列調查問卷。每項調查都會帶來更多廣告，而騙子則通過制造即將獲得獎品的假象來讓用戶繼續參與。然而，獎品從未兌現，用戶則被困在無休止的數據收集循環中。

抽獎騙局

與調查問卷騙局類似，抽獎騙局也利用了用戶的信任。Renée調查了諸如zippywinner.com之類的欺詐網站，這些網站宣傳看似真實的豐厚抽獎活動。它們通過讓用戶相信自己贏得了大獎來吸引他們，但實際上，贏得獎品的可能性幾乎為零。相反，用戶會被引導至更多調查問卷和欺騙性計劃，旨在獲取個人信息并為騙子創造廣告收入。

更大的圖景

通過研究，Renée發現騙子使用高級技術來逃避檢測。他們采用域名偽裝和流量分發系統（TDS）來傳遞不同的內容，使得安全團隊難以識別和應對這些威脅。

Infoblox觀察到，這種惡意廣告技術（adtech）在包括科學研究平臺、汽車經銷商頁面和活動家博客在內的各種網站中運作。問題十分廣泛，每年有數百萬網站受到推送通知詐騙的侵害。

影響

盡管有些人可能認為這些騙局只是小麻煩，但Renée的研究結果強調了它們的嚴重后果。騙子獲取個人和財務信息，使用戶陷入誤導性廣告和釣魚攻擊的循環中。唯一受益的只有騙子自己。

總而言之，Renée的研究揭示了推送通知被網絡犯罪分子濫用后的危險性。雖然推送通知可以作為有價值的用戶參與工具，但它們也可能成為欺詐的入口。用戶應保持警惕，避免點擊可疑通知，并切勿在未經請求的提醒中泄露個人信息。