How do fake CAPTCHA notification tricks work?

The attack exploits the browser's built-in notification permission dialog. When you visit a malicious site, it displays an image or overlay that looks like a CAPTCHA challenge, often with text like "Click Allow to confirm you are not a robot" or "Press Allow to continue." This visual sits directly behind or near the browser's real notification permission popup. When you click "Allow," you are not completing a CAPTCHA. You are granting the site permission to send push notifications to your device.Once permission is granted, the site can push notifications at any time, even when you are not on the page or the browser is minimized. These notifications mimic system alerts, antivirus warnings, or corporate security messages. Security firm Kaspersky reported that notification-based scams accounted for a significant share of social engineering attacks in 2023, with some campaigns generating millions of impressions per day. The notifications often link to phishing pages, tech support scams, or malware downloads.

How do you stop and prevent browser notification spam?

To stop existing spam, open your browser's notification settings. In Chrome, go to Settings > Privacy and Security > Site Settings > Notifications. Find the offending site in the "Allowed" list and either block it or remove it entirely. Firefox and Edge have similar options under their privacy or permissions menus. This immediately stops all notifications from that source.To prevent future abuse, change your default notification setting to "Don't allow sites to send notifications" (Chrome) or the equivalent in your browser. This blocks the permission prompt entirely, so fake CAPTCHA tricks have nothing to exploit. If a legitimate site genuinely needs notification access, like a project management tool or calendar app, you can manually add it to your allowlist. You should also treat any site that shows a CAPTCHA-like prompt before you have interacted with it as suspicious. Real CAPTCHA systems from Google reCAPTCHA or Cloudflare Turnstile never ask you to click "Allow" on a browser permission dialog.

Зловживання сповіщеннями браузера

That CAPTCHA was a trap for push spam.

Що таке Зловживання сповіщеннями браузера?

Зловживання push-сповіщеннями стало одним з найшвидше зростаючих векторів соціальної інженерії. Шкідливі сайти обманом змушують користувачів надавати дозволи на сповіщення через оманливі запити, найчастіше підроблені CAPTCHA-перевірки з текстом 'Натисніть Дозволити, щоб підтвердити, що Ви не робот'. Після надання дозволу зловмисники можуть надсилати підроблені вірусні попередження, phishing-посилання та шахрайський контент прямо на Ваш робочий стіл, навіть коли браузер закритий. У цій симуляції Ви стежите за Алісою в компанії Brightwave Analytics, яка відвідує інструмент для інфографіки, рекомендований колегою. Сайт показує те, що виглядає як стандартна CAPTCHA-перевірка, але натискання 'Дозволити' фактично надає дозвіл на push-сповіщення. Протягом кількох годин робочий стіл Аліси заповнюється тривожними сповіщеннями: підробленими антивірусними попередженнями, пропозиціями подарункових карток та переконливим повідомленням, що імітує портал безпеки її компанії. Ви відчуваєте ескалацію атаки на власні очі, коли Аліса натискає сповіщення, що веде на сторінку збору облікових даних, стилізовану під екран входу її компанії. Після введення облікових даних ІТ-безпека виявляє компрометацію. Ви проходите повний процес відновлення: відкликання дозволів на сповіщення в налаштуваннях браузера, скидання скомпрометованого пароля, увімкнення багатофакторної автентифікації та подання детального звіту про інцидент. Вправа завершується практичними прийомами захисту. Ви навчитеся виявляти візуальні відмінності між справжніми CAPTCHA-перевірками та підробленими запитами на сповіщення, налаштовувати блокування сповіщень за замовчуванням у браузері та формувати звичку відхиляти запити на сповіщення від незнайомих сайтів.

Що ви дізнаєтесь у Зловживання сповіщеннями браузера

Виявляти підроблені CAPTCHA-запити та інші прийоми соціальної інженерії, що використовуються для отримання дозволів на сповіщення
Відкликати дозволи на push-сповіщення від конкретних вебсайтів у Chrome, Firefox та Edge
Розпізнавати phishing-атаки, що доставляються через push-сповіщення, включаючи підроблені попередження безпеки
Виконувати процедури реагування на інцидент після компрометації облікових даних через phishing-сповіщення
Налаштовувати параметри сповіщень браузера для блокування запитів за замовчуванням та додавання лише довірених сайтів до списку дозволених

Зловживання сповіщеннями браузера — Кроки навчання

Кінцевий термін клієнта

Сьогодні вівторок після обіду. У Аліси завтра вранці має бути презентація клієнта для Meridian Group, і їй потрібна професійна інфографіка, щоб візуалізувати дані про залучення. Створення їх з нуля займе години, яких у неї немає.
Пропозиція колеги

Надходить електронний лист від Маркуса Рейда, колеги з команди дизайнерів.
Відвідування Chartify Pro

Інструмент виглядає багатообіцяючим, і Маркус за нього ручається. Аліса натискає посилання, щоб перевірити.
Перевірка людиною

Сторінка завантажується, але відразу відображається запит на підтвердження. Повідомлення вказує Алісі натиснути Дозволити у запиті браузера вище, щоб підтвердити, що вона людина.
Створення інфографіки

Накладення перевірки зникає, і інструмент завантажується. Він виглядає професійно, із шаблонами для гістограм, секторних діаграм тощо. Аліса вибирає шаблон, щоб почати створювати графіку своєї презентації.
Підозріле сповіщення

Аліса переглядає готову презентацію, коли в кутку її екрана з’являється сповіщення. Він стверджує, що її комп’ютер заражений вірусами, але вона не впізнає джерело. Це неприємно, тому вона відкидає це.
Більше спливаючих вікон

Через кілька хвилин з’являється ще одне сповіщення – воно стверджує, що вона виграла подарункову картку. Аліса знову відкидає це, розпізнаючи шаблон шахрайства, але починає дивуватися, звідки надходять ці сповіщення.
Що відбувається?

Аліса постійно отримує ці спливаючі сповіщення, навіть якщо вона не відвідувала жодного підозрілого сайту. Щось явно не так.
Цільове сповіщення

З’являється інше сповіщення, але це інше. Замість загального попередження про вірус у ньому конкретно згадується Brightwave Analytics і посилається на інцидент безпеки. Виглядає більш офіційно, ніж інші.
Перевірка її особи

Сповіщення відкриває сторінку, схожу на портал безпеки Brightwave, з проханням Аліси підтвердити свою особу. Сторінка попереджає про незвичайну активність входу та запитує її робочі облікові дані.

Що таке Зловживання сповіщеннями браузера?

Що ви дізнаєтесь у Зловживання сповіщеннями браузера

Зловживання сповіщеннями браузера — Кроки навчання

Кінцевий термін клієнта

Пропозиція колеги

Відвідування Chartify Pro

Перевірка людиною

Створення інфографіки

Підозріле сповіщення

Більше спливаючих вікон

Що відбувається?

Цільове сповіщення

Перевірка її особи