PSA: احذر من هجمات التصيد الاحتيالي باستخدام تحديثات التطبيقات المصرفية المزيفة
اكتشف باحث أمني هجومًا تصيدًا يهدف إلى خداع مستخدمي iPhone لتثبيت ما يُزعم أنه تحديث لتطبيقهم المصرفي.
يعمل الهجوم على الرغم من حماية iOS لأن ما يتم “تثبيته” فعليًا هو تطبيق ويب تقدمي، والذي لا يتضمن أي فحص أو تحذيرات من متجر التطبيقات…
تطبيقات الويب التقدمية (PWAs)
تطبيقات الويب التقدمية هي في الأساس مواقع ويب تبدو وكأنها تطبيقات وتعمل مثلها. في الواقع، عندما تم إطلاق iPhone لأول مرة في عام 2007، كانت PWAs هي الحل فقط طريقة لمطور طرف ثالث لتشغيل التطبيق.
قال ستيف جوبز، المؤسس المشارك لشركة Apple، عنهم في ذلك الوقت:
محرك Safari الكامل موجود داخل iPhone. وهكذا، يمكنك كتابة تطبيقات Web 2.0 وAjax الرائعة التي تبدو تمامًا وتتصرف تمامًا مثل التطبيقات الموجودة على iPhone. ويمكن لهذه التطبيقات أن تتكامل بشكل مثالي مع خدمات iPhone. يمكنهم إجراء مكالمة، ويمكنهم إرسال بريد إلكتروني، ويمكنهم البحث عن موقع على خرائط Google.
وتخمين ماذا؟ ليس هناك SDK التي تحتاج إليها! لديك كل ما تحتاجه إذا كنت تعرف كيفية كتابة التطبيقات باستخدام أحدث معايير الويب لكتابة تطبيقات مذهلة لجهاز iPhone اليوم. لذا، أيها المطورون، نعتقد أن لدينا قصة رائعة جدًا لكم. يمكنك البدء في إنشاء تطبيقات iPhone الخاصة بك اليوم.
وسرعان ما أدركت شركة Apple أن تطبيقات iPhone الأصلية ستوفر تجربة أفضل، وتم إنشاء متجر التطبيقات بعد مرور عام، ولكن لا يزال بإمكانك استخدام تطبيقات PWA اليوم.
هجمات التصيد الاحتيالي باستخدام تحديثات التطبيقات المصرفية المزيفة
اكتشفت شركة الأمن السيبراني ESET أن تطبيقات PWA تُستخدم لاستهداف مستخدمي Android وiPhone. يتم تنفيذ الهجمات عبر مجموعة متنوعة من الأساليب، بما في ذلك الرسائل النصية والإعلانات على وسائل التواصل الاجتماعي والمكالمات الصوتية.
يتم تسليم المكالمة الصوتية عبر مكالمة آلية تحذر المستخدم من تطبيق مصرفي قديم وتطلب من المستخدم تحديد خيار على لوحة المفاتيح الرقمية. بعد الضغط على الزر الصحيح، يتم إرسال عنوان URL للتصيد الاحتيالي عبر الرسائل القصيرة […]
تقوم مواقع التصيد الاحتيالي التي تستهدف نظام التشغيل iOS بتوجيه الضحايا إلى إضافة تطبيق ويب تقدمي (PWA) إلى شاشاتهم الرئيسية، بينما يتم تثبيت تطبيق الويب التقدمي (PWA) على نظام Android بعد تأكيد النوافذ المنبثقة المخصصة في المتصفح. في هذه المرحلة، على كلا نظامي التشغيل، لا يمكن تمييز تطبيقات التصيد الاحتيالي هذه إلى حد كبير عن التطبيقات المصرفية الحقيقية التي تحاكيها.
بمجرد قيام المستخدم بتسجيل الدخول إلى التطبيق المزيف، فإنه يلتقط تفاصيل تسجيل الدخول الخاصة به ويرسلها إلى المهاجم.
قد يكون أصحاب iPhone معرضين للخطر بشكل خاص، حيث يفترض الكثيرون أن أجهزتهم آمنة من البرامج الضارة.
بالنسبة لمستخدمي iOS، توجد نافذة منبثقة متحركة ترشد الضحايا إلى كيفية إضافة PWA للتصيد الاحتيالي إلى شاشتهم الرئيسية. تقوم النافذة المنبثقة بنسخ مظهر مطالبات iOS الأصلية. في النهاية، حتى مستخدمي iOS لا يتم تحذيرهم من إضافة تطبيق قد يكون ضارًا إلى هواتفهم.
وكانت الأمثلة الحية التي شوهدت في البرية حتى الآن تستهدف المستخدمين التشيكيين والمجريين، ولكن يمكن بسهولة استخدام نفس التقنيات على مستوى العالم.
كيف تحمي نفسك
تعامل دائمًا مع أي اتصال يُطالب به من البنك الذي تتعامل معه بعين الشك، سواء كان رسالة نصية أو بريدًا إلكترونيًا أو مكالمة صوتية. الطريقة الأكثر أمانًا هي دائمًا إغلاق الهاتف والاتصال بالمصرف الذي تتعامل معه على رقم حقيقي معروف (مثل الرقم المطبوع على كشف حسابك البنكي أو بطاقة الدفع) للتحقق من أي معلومات تم تقديمها لك قبل التصرف بناءً عليها.
سيكون أي تحديث حقيقي لتطبيق مصرفي متاحًا من خلال زيارة متجر التطبيقات.
عبر مكوورلد. الصورة: مركب 9to5Mac باستخدام صورة Anton على Unsplash.
FTC: نحن نستخدم الروابط التابعة التلقائية لكسب الدخل. أكثر.