Geral 3min de Leitura - 19 de novembro de 2020

Os riscos de ativar as notificações dos sites

Mão segurando celular que exibe a notificação de sites ou aplicativos em sua tela.

This post is also available in: Português

Por trás desses avisos dos sites, podem estar escondidos vários golpes e ameaças à segurança digital.

É difícil discordar do fato de que as notificações dos nossos sites favoritos são úteis. Afinal, facilitam muito na hora de ficar por dentro de atualizações e novidades. Contudo, podem ser o lobo em pele de cordeiro.

Centenas de sites pedem aos visitantes para aprovar o envio de notificações, que são como modificações do navegador para exibir mensagens periodicamente no celular, tablet ou computador. Em muitos casos, essas notificações são inofensivas, mas várias empresas de origem duvidosa estão pagando aos proprietários de dúzias de sites para instalar neles seus scripts de notificação. Tudo para depois vender essa via de comunicação a golpistas e anunciantes – sem o usuário final nem saber.

Quando um site pede permissão para enviar notificações e alguém aprova isso, as mensagens aparecem em pop-ups fora do navegador. No Windows, por exemplo, geralmente surgem no canto inferior direito da tela – logo acima do relógio. São chamadas de “notificações push”, e dependem de um padrão da Internet projetado para funcionar de maneira semelhante em diferentes sistemas operacionais e navegadores da web.

Mas muitas pessoas podem não entender totalmente o que estão autorizando quando aceitam esses pedidos. Ou então desconhecem a diferença entre uma notificação enviada por um site e outra feita para aparecer como um alerta do sistema operacional ou outro programa que já está instalado no dispositivo.

Há inúmeros casos em que nem mesmo os criadores dos sites têm total ciência sobre o tema. Essa situação é um terreno fértil para empresas como PushWelcome, com sede em Montenegro, no leste europeu. A companhia atrai os donos de sites ao anunciar que eles podem monetizar o tráfego de seus visitantes. E para muitos é complicado duvidar disso, pois o site da PushWelcome atualmente é classificado pelo Alexa.com como um dos 2.000 mais eficientes em termos de tráfego de Internet em todo o mundo.

Golpe à vista

Os editores de sites que se inscrevem no PushWelcome precisam incluir um pequeno script em sua página, que solicita aos visitantes que aprovem notificações. Em muitos casos, as próprias solicitações de aprovação de notificação são enganosas – disfarçadas como pedidos para clicar em “OK” para visualizar vídeos, por exemplo, ou como “Captcha”, que diferenciam os acessos automatizados daqueles feitos por visitantes reais.

Aí, é quase como um cheque em branco; aprovar notificações de um site que usa PushWelcome permite que qualquer um dos parceiros de publicidade da empresa exiba as mensagens que bem entenderem, quando quiserem e em tempo real. E, não raro, essas mensagens incluem notificações fake sobre riscos de segurança no sistema, pedidos para instalar outro software, anúncios de redes sociais de namoro ou oportunidades de investimento questionáveis.

Tais informações foram compiladas pela multinacional Indelible LLC. Frank Angiolelli, vice-presidente de segurança da Indelible, disse que notificações falsas podem ser utilizadas para phishing de credencial, bem como para forjar malware e outros aplicativos indesejados.

“Este método está sendo usado atualmente para fornecer algo semelhante a adwares, ou atividades do tipo fraude de cliques”, disse o executivo. O que preocupa é que praticamente nada disso é detectado por programas de segurança convencionais, e é imenso o risco de que essa atividade possa ser usada para propósitos maliciosos.

É algo que ficou evidente em alguns testes realizados pela companhia, nos quais foram usados computadores com o Windows recém-instalado. Após aceitar o recebimento de notificações, rapidamente o sistema foi tomado por alertas sobre ameaças de malware supostamente encontradas. Entre os exemplos, estavam anúncios do antivírus Norton e do McAfee. Quem clicasse em qualquer um deles seria levado às páginas “compre agora” nos sites oficiais de ambas as empresas.

Existe então a possibilidade de que o PushWelcome – ou alguns de seus anunciantes – estejam tentando ganhar comissões por “indicar” clientes para comprar produtos dessas marcas. Procurada, a McAfee não se manifestou ainda sobre o tema, enquanto a Norton disse não acreditar que seja obra de algum afiliado seu. “Continuamos investigando o assunto. Levamos a sério a fraude e o abuso de afiliados, monitorando-os de forma contínua”, disse a direção em um comunicado.

Nada de subestimar

Ainda que essas notificações fraudulentas possam não parecer uma ameaça urgente, a maioria das pessoas provavelmente não sabe como essa via de comunicação pode ser explorada – tendo um potencial gigantesco para fazer estragos.

Além do mais, redes de notificação duvidosas podem ser usadas para propósitos menos visíveis e furtivos, incluindo a divulgação de notícias falsas e malware disfarçado de avisos de atualização do sistema operacional. Assim, é preciso ser muito seletivo sobre quais sites deve-se aceitar os pedidos de notificações.

Por sorte, é possível desativar as solicitações de notificação no Chrome, Firefox e Safari. Já é uma excelente maneira de evitar possíveis dores de cabeça, sem precisar aprender a lição somente após um vazamento de dados pessoais.

This post is also available in: Português