未接来电？点开就上当了

诈骗者滥用Android设备上的通知和推送API以及谷歌浏览器来推送看起来像是未接来电的垃圾邮件警报。

这两个API在移动设备上用于推送通知——旨在重新提醒用户的通知。无论该应用程序有没有在运行，消息都可以由本地应用程序或服务器触发。

“通知API可以让我们向用户推送通知。它非常强大且易于使用。在可能的情况下，它所使用得机制与本机应用程序使用的机制完全相同，因此可以提供完全相同的外观和感觉，”API的使用说明如是说。

Lookout的网络钓鱼人工智能服务捕获了一个网络钓鱼活动，该活动向移动用户发送包含触发警报的应用程序的自定义图标的消息，在本例中为Google Chrome。

为了掩盖其来源，诈骗者将浏览器的图标更为“未接来电”，就像是未接来电通知一样。该消息通知用户中了一部iPhone XS。

这是一种非常有效的社会工程手段，因为用户经常依赖可视指示器来确定警报的来源。

“诈骗者希望利用这样一个事实，即我们已经对一些与系统信息相关的图标（在这里是电话图标）非常熟悉，并能自然而然的做出反应。”Lookout的安全研究员Jeremy Richards表示。

请务必注意，除非受害者决定查看来自垃圾邮件域的通知，否则该邮件是不会显示出来的。这意味着攻击者可以利用用户信任的网站进行此类网络钓鱼活动。

以下是利用移动设备上的推送通知提供垃圾邮件的域名的列表：

• consumertestconnect.com

• foundmoneyguide.com

• getitfree-samples.com

• click4riches.info

• yousweeps.com

并非所有垃圾邮件通知都会更改浏览器图标，但是其邮件足以使一些受害者上当受骗。

2.苹果设备也可能中招

研究人员在Android手机上发现了这次活动，原因是目前iOS上的Safari还没有完全支持推送通知服务，但事无绝对。Safari和Chrome都支持基于网络的通知，攻击者可以利用这一点来进行网络钓鱼活动。

如果用户不仔细看上述文本以及Slack图标就很可能上当受骗，点击警报并登陆捕获凭据的仿冒页面。

相同的提醒在移动设备上的可信度更高，因为这种提醒只显示Chrome名称、触发通知的应用以及推送垃圾邮件的域。当Chrome的图标发生变化时，就完全看不出来这是虚假消息了，因为只有浏览器名称和域名表明这是诈骗。

Google软件工程师Peter Beverloo发明了一个通知生成器，可用于测试推送卡在桌面设备和移动设备上的显示方式。该工具允许为消息键入自定义标题和正文，以及添加各种各样的图片（图标、徽章、图像）和操作。