Notifikasi push browser, yang awalnya dirancang untuk membantu pengguna tetap terhubung dengan situs web favorit mereka, kini telah menjadi ancaman keamanan yang besar. Investigasi terbaru mengungkapkan bagaimana penipu menggunakan tantangan CAPTCHA palsu untuk mengelabui pengguna agar mengaktifkan notifikasi ini, yang kemudian membanjiri perangkat mereka dengan spam dan konten berbahaya.
Skema ini bekerja dengan menampilkan kepada pengguna apa yang tampak seperti tombol buktikan Anda manusia standar, mirip dengan tes CAPTCHA yang sah yang ditemukan di seluruh web. Namun, mengklik tombol ini sebenarnya memberikan izin kepada situs web untuk mengirim notifikasi push langsung ke perangkat pengguna. Setelah diaktifkan, notifikasi ini dapat muncul sebagai peringatan sistem resmi, membuatnya sangat berbahaya bagi pengguna yang kurang paham teknologi.
Skala Masalah
Para peneliti keamanan telah menemukan bahwa hampir 40% situs web yang dikompromikan pada tahun 2022 mengarahkan pengunjung ke skema notifikasi berbahaya ini. Masalah ini telah menjadi begitu meluas sehingga mempengaruhi pengguna di semua browser utama dan sistem operasi. Yang membuat ini sangat mengkhawatirkan adalah bagaimana notifikasi palsu sering meniru peringatan sistem yang sah, membuatnya sulit dibedakan dari peringatan yang nyata.
Penipuan ini beroperasi melalui jaringan pengalihan yang kompleks yang memantulkan pengguna melalui beberapa domain sebelum menampilkan CAPTCHA palsu. Teknik ini membantu situs berbahaya menghindari deteksi oleh sistem keamanan dan memastikan hanya pengguna yang ditargetkan yang melihat konten yang menipu.
Statistik Kunci dari Riset Keamanan:
- 40% situs web yang disusupi pada tahun 2022 mengarahkan ke skema notifikasi berbahaya
- Jaringan VexTrio diidentifikasi sebagai salah satu sistem distribusi lalu lintas berbahaya terbesar
- Beberapa pengalihan browser digunakan untuk menghindari deteksi oleh sistem keamanan
- Metode CAPTCHA palsu secara khusus menargetkan keakraban antarmuka pengguna
Mengapa Pengguna Terjebak dalam Trik Ini
Keberhasilan skema CAPTCHA palsu ini berasal dari frustrasi pengguna dengan langkah-langkah keamanan yang sah. Browsing internet modern mengharuskan pengguna untuk menavigasi permintaan izin yang tak terhitung jumlahnya, banner cookie, dan langkah verifikasi. Dalam lingkungan ini, banyak orang telah mengembangkan kelelahan klik - secara otomatis menyetujui permintaan hanya untuk mencapai tujuan yang mereka inginkan.
Ini adalah kesalahan kita sendiri karena membuat internet menjadi labirin Kafkaesque yang membingungkan. Klik tombol ini, klik tombol itu, masuk untuk mengonfirmasi Anda bukan bot... Garis antara penipu dan perusahaan teknologi modern sejujurnya tidak jelas lagi.
Kebingungan ini sangat bermasalah bagi pengguna lanjut usia, yang mungkin tidak memahami perbedaan antara notifikasi sistem yang sah dan peringatan berbasis browser. Setelah penipu mendapatkan izin notifikasi, mereka dapat terus mengirim pop-up yang tampak berasal dari sistem operasi itu sendiri.
Respons Pembuat Browser
Pengembang browser utama telah menerapkan berbagai langkah untuk memerangi penyalahgunaan notifikasi, tetapi masalah ini tetap ada. Beberapa browser sekarang membatasi situs mana yang dapat meminta izin notifikasi, sementara yang lain telah menambahkan peringatan tentang permintaan yang mencurigakan. Namun, perlindungan ini sering kali tidak cukup melawan taktik rekayasa sosial yang canggih.
Tantangan bagi pembuat browser adalah menyeimbangkan keamanan dengan fungsionalitas. Notifikasi push melayani tujuan yang sah untuk layanan email, aplikasi pesan, dan aplikasi web lain yang benar-benar ingin diterima peringatannya oleh pengguna. Memblokir fitur sepenuhnya akan merusak banyak layanan yang berguna.
Panduan Pengaturan Notifikasi Browser:
| Browser | Jalur Navigasi | Pengaturan Utama |
|---|---|---|
| Firefox | Settings → Privacy & Security → Permissions → Notifications | "Block new requests asking to allow notifications" |
| Chrome | Settings → Privacy and Security → Site Settings → Notifications | "Don't allow sites to send notifications" |
| Safari | Settings → Websites → Notifications | Hapus centang "Allow websites to ask for permission to send notifications" |
| Edge | Settings → Cookies and site permissions → Notifications | Atur default untuk memblokir semua permintaan notifikasi |
Melindungi Diri Anda
Perlindungan yang paling efektif adalah menonaktifkan permintaan notifikasi sepenuhnya dalam pengaturan browser Anda. Semua browser utama memungkinkan pengguna untuk memblokir situs dari meminta izin notifikasi, yang mencegah permintaan yang sah maupun berbahaya. Untuk pengguna yang memerlukan notifikasi dari situs tepercaya tertentu, browser juga menawarkan opsi untuk mengelola izin berdasarkan situs per situs.
Para ahli keamanan merekomendasikan untuk sangat berhati-hati dengan permintaan izin yang tidak terduga, terutama yang menyamar sebagai tantangan CAPTCHA . CAPTCHA yang sah biasanya melibatkan pemilihan gambar atau memecahkan teka-teki, bukan hanya mengklik tombol untuk membuktikan Anda manusia.
Penipuan notifikasi ini mewakili tren yang lebih luas dari penjahat siber yang mengeksploitasi pola antarmuka pengguna yang telah dipelajari orang untuk dipercaya. Seiring internet menjadi semakin kompleks, pengguna harus tetap waspada tentang izin yang mereka berikan kepada situs web, bahkan ketika permintaan tersebut tampak rutin atau perlu.
Referensi: Inside a Dark Adtech Empire Fed by Fake CAPTCHAS
 |
|---|
| Memahami lanskap keamanan siber yang kompleks sangat penting untuk menjaga keamanan dari penipuan notifikasi |