Pushpagandaは、モバイルユーザーを狙ったAI支援の広告詐欺、ソーシャルエンジニアリング、およびスケアウェア作戦に対して研究者が付けた名前です。
ほとんどの人にとって、Pushpagandaは完全に普通に見えるものから始まります。たとえば、Googleディスカバーフィード(携帯電話の個別化されたニュースストリーム)の推奨記事、または新しいChromeタブを開いたときに表示される提案されたストーリーの1つです。このキャンペーンの運営者はAI生成記事と画像、さらに積極的なSEOまたは有料掲載を使用して、コンテンツをこれらのフィードに表示させ、金銭、技術、または政治に関する他のストーリーのように感じるようにしています。
トピックは典型的なクリックベイトです。新しい税金還付、政府の支払い、銀行預金、または「300MPカメラ」付きの100ドルの電話のような信じられないほどのガジェットについてのカードが表示される可能性があります。小さいモバイル画面では、マッチングサムネイルと地域に合わせたヘッドラインがあり、これは多くの人が合理的にタップするであろう種類のものです。
タップすると、攻撃者によって管理されたサイトに到着します。これは通常の記事ページのように見えますが、通知を送信するよう求めるブラウザプロンプトを表示するのに時間を無駄にしません。多くのユーザーは、ポップアップで何年も訓練されて、特にページが続きを読んだりオファーを見るために「許可」をクリックする必要があると主張している場合、「許可」をクリックしてそれを取り除いています。
残念なことに、その1回のタップで、サイトはAndroidまたはデスクトップに直接メッセージをプッシュする権限を持つようになり、そこでメール、チャット、および銀行または政府アプリからの実際のアラートと一緒に配置されます。通知は従来のポップアップのように動作せず、通常の広告ブロッキングをバイパスできるため、多くの人々は実質的にスキャムチャネルに登録したことに気づいていません。
結果は、どこからともなく現れ、訪問した元のサイトとほとんど関係のない警告通知のストリームです。そのため、サイトと通知の間のリンクは通常、被害者にとって失われます。これらの通知をクリックすると、彼らが約束したことになることはめったにありません。代わりに、同じネットワーク内の別のドメインにプッシュされます。これはさらなる権限、個人データを要求したり、金融詐欺に導こうとするかもしれません。時間が経つにつれて、これはあなたを偽の投資スキーム、詐欺的な「テックサポート」番号、または疑わしいサブスクリプションを推し進めるページに露出させる可能性があります。
これはすべてあなたの時間と注意、そして時にはお金がかかります。最良の場合、本当に重要なものを見つけるのが難しくなる偽のアラートでいっぱいの汚染された通知トレイで終わります。最悪の場合、1つの恐怖メッセージに従い続け、個人の詳細または支払い情報を引き渡し、詐欺、ID盗難、または積極的なサブスクリプショントラップの被害者になります。また、もう一度クリックしなくても、ブラウザはまだ静かに要求されていないページと広告を読み込んでいます。
Pushpagandaから身を守る方法
「通知を許可」プロンプトを潜在的なトラップとして扱い、特にフィードまたは検索結果を経由して到達した聞いたことのないサイトについては。そして、追加の誤解を招く指示が付いている場合はさらにそうです。
それ以外に、あなたは:
- ディスカバーフィード内の、突然の現金、奇跡的なデバイス、または劇的な政治的啓示を約束する扇動的なカードに対して懐疑的であってください。
- すでに押し付けがましいまたは悪く書かれていると感じるページで、「今すぐ応募」、「今すぐ請求」、または「WhatsAppに参加」と叫ぶボタンを信頼しないでください。
- ブラウザ、オペレーティングシステム(OS)、およびその他の重要なソフトウェアを最新の状態に保ってください。
- 悪意のあるウェブサイトとスキャムページをロードする前にブロックできるセキュリティアプリを使用してください。
