A bezpieczeństwo badacz odkrył atak phishingowy mający na celu oszukanie iPhone użytkowników do zainstalowania rzekomej aktualizacji ich aplikacji bankowej.
Atak działa pomimo zabezpieczeń systemu iOS, ponieważ w rzeczywistości „instalowana” jest progresywna aplikacja internetowa, która nie wymaga żadnych działań. Sklep z aplikacjami weryfikacja lub ostrzeżenia…
Progresywne aplikacje internetowe (PWA)
Progresywne aplikacje internetowe to w zasadzie witryny internetowe, które wyglądają i działają jak aplikacje. Rzeczywiście, gdy iPhone po raz pierwszy pojawił się w 2007 r., PWA były tylko sposób na uruchomienie aplikacji przez zewnętrznego dewelopera.
Współzałożyciel Apple Steve Jobs miał to do powiedzenia o nich w tamtym czasie:
Pełny silnik Safari znajduje się w iPhonie. Dzięki temu możesz pisać niesamowite aplikacje Web 2.0 i Ajax, które wyglądają i zachowują się dokładnie tak samo jak aplikacje na iPhonie. A te aplikacje mogą idealnie integrować się z usługami iPhone’a. Mogą wykonywać połączenia, wysyłać e-maile, wyszukiwać lokalizację w Mapach Google.
I wiecie co? Nie ma SDK, którego potrzebujecie! Macie wszystko, czego potrzebujecie, jeśli wiecie, jak pisać aplikacje, korzystając z najnowocześniejszych standardów internetowych, aby pisać niesamowite aplikacje na iPhone’a już dziś. Więc programiści, myślimy, że mamy dla was bardzo słodką historię. Możecie zacząć budować swoje aplikacje na iPhone’a już dziś.
Firma Apple szybko zdała sobie sprawę, że natywne aplikacje na iPhone’a zapewnią lepsze doświadczenia, a rok później powstał App Store. Jednak z aplikacji PWA możesz korzystać do dziś.
Ataki phishingowe z wykorzystaniem fałszywych aktualizacji aplikacji bankowych
Firma zajmująca się cyberbezpieczeństwem ESET odkryty PWA są używane do atakowania użytkowników Androida i iPhone’a. Ataki są przeprowadzane różnymi metodami, w tym za pomocą wiadomości tekstowych, reklam w mediach społecznościowych i połączeń głosowych.
Dostarczanie połączeń głosowych odbywa się za pośrednictwem automatycznego połączenia, które ostrzega użytkownika o nieaktualnej aplikacji bankowej i prosi użytkownika o wybranie opcji na klawiaturze numerycznej. Po naciśnięciu właściwego przycisku, adres URL phishingowy jest wysyłany za pośrednictwem wiadomości SMS […]
Witryny phishingowe atakujące iOS instruują ofiary, aby dodały Progressive Web Application (PWA) do swoich ekranów głównych, podczas gdy na Androidzie PWA jest instalowane po potwierdzeniu niestandardowych wyskakujących okienek w przeglądarce. W tym momencie, w obu systemach operacyjnych, te aplikacje phishingowe są w dużej mierze nie do odróżnienia od prawdziwych aplikacji bankowych, które imitują.
Gdy użytkownik zaloguje się do fałszywej aplikacji, przechwytuje ona jego dane logowania i wysyła je atakującemu.
Właściciele iPhone’ów mogą być szczególnie narażeni, ponieważ wielu z nich zakłada, że ich urządzenia są bezpieczne złośliwe oprogramowanie.
W przypadku użytkowników iOS animowany pop-up instruuje ofiary, jak dodać phishingową aplikację PWA do ekranu głównego. Pop-up kopiuje wygląd natywnych monitów iOS. Ostatecznie nawet użytkownicy iOS nie są ostrzegani przed dodaniem potencjalnie szkodliwej aplikacji do swojego telefonu.
Dotychczasowe przykłady w praktyce dotyczyły użytkowników z Czech i Węgier, ale te same techniki można z łatwością zastosować na całym świecie.
Jak się chronić
Zawsze traktuj każdą rzekomą komunikację z banku z podejrzliwością, niezależnie od tego, czy jest to SMS, e-mail czy połączenie głosowe. Najbezpieczniejszym podejściem jest zawsze rozłączenie się i zadzwonienie do banku na znany, prawdziwy numer (taki jak ten wydrukowany na wyciągu bankowym lub karcie płatniczej), aby zweryfikować wszelkie informacje, które otrzymałeś, zanim podejmiesz na ich podstawie jakieś działanie.
Każdą oryginalną aktualizację aplikacji bankowej będzie można pobrać ze sklepu App Store.
Przez Świat Maca. Obraz: kompozycja 9to5Mac z wykorzystaniem zdjęcia autorstwa Antoni NA Odsłoń.
FTC: Używamy linków afiliacyjnych generujących dochód. Więcej.