Skip to main content

Исследователь по вопросам безопасности обнаружил фишинговую атаку, целью которой было обмануть пользователей iPhone и заставить их установить то, что якобы является обновлением их банковского приложения.

Атака работает, несмотря на защиту iOS, поскольку на самом деле «устанавливается» прогрессивное веб-приложение, которое не требует проверки или предупреждений со стороны App Store…

Прогрессивные веб-приложения (PWA)

Прогрессивные веб-приложения по сути являются веб-сайтами, которые выглядят и действуют как приложения. Действительно, когда iPhone впервые появился в 2007 году, PWA были только способ для стороннего разработчика запустить приложение.

Соучредитель Apple Стив Джобс сказал о них в то время следующее:

Полный движок Safari находится внутри iPhone. И поэтому вы можете писать потрясающие приложения Web 2.0 и Ajax, которые выглядят и ведут себя точно так же, как приложения на iPhone. И эти приложения могут прекрасно интегрироваться с сервисами iPhone. Они могут совершать звонки, отправлять электронные письма, искать местоположение на Google Maps.

И знаете что? Вам не нужен SDK! У вас есть все, что нужно, если вы знаете, как писать приложения, используя самые современные веб-стандарты, чтобы писать потрясающие приложения для iPhone сегодня. Так что, разработчики, мы думаем, что у нас есть очень милая история для вас. Вы можете начать создавать свои приложения для iPhone уже сегодня.

Вскоре Apple поняла, что собственные приложения для iPhone обеспечат лучший опыт использования, и год спустя появился App Store, но использовать PWA можно и сегодня.

Фишинговые атаки с поддельными обновлениями банковских приложений

Компания по кибербезопасности ESET обнаружила, что PWA используются для атак на пользователей Android и iPhone. Атаки осуществляются различными способами, включая текстовые сообщения, рекламу в социальных сетях и голосовые вызовы.

Доставка голосового вызова осуществляется с помощью автоматического звонка, который предупреждает пользователя об устаревшем банковском приложении и просит пользователя выбрать опцию на цифровой клавиатуре. После нажатия правильной кнопки фишинговый URL отправляется через SMS […]

Фишинговые веб-сайты, нацеленные на iOS, инструктируют жертв добавить Progressive Web Application (PWA) на свои домашние экраны, тогда как на Android PWA устанавливается после подтверждения пользовательских всплывающих окон в браузере. На данный момент в обеих операционных системах эти фишинговые приложения в значительной степени неотличимы от настоящих банковских приложений, которые они имитируют.

Как только пользователь входит в поддельное приложение, оно перехватывает его данные для входа и отправляет их злоумышленнику.

Владельцы iPhone могут подвергаться особому риску, поскольку многие полагают, что их устройства защищены от вредоносных программ.

Для пользователей iOS анимированное всплывающее окно инструктирует жертв, как добавить фишинговый PWA на домашний экран. Всплывающее окно копирует вид собственных подсказок iOS. В конце концов, даже пользователи iOS не предупреждаются о добавлении потенциально опасного приложения на свой телефон.

Реальные примеры, замеченные до сих пор, были нацелены на чешских и венгерских пользователей, но те же методы можно легко использовать по всему миру.

Как защитить себя

Всегда относитесь с подозрением к любым сообщениям от вашего банка, будь то текстовое сообщение, электронное письмо или голосовой звонок. Самый безопасный подход — всегда вешать трубку и звонить в банк по известному подлинному номеру (например, указанному в выписке по счету или на платежной карте), чтобы проверить любую предоставленную вам информацию, прежде чем действовать на ее основании.

Любое подлинное обновление банковского приложения будет доступно в App Store.

Через Macworld. Изображение: , составленное с использованием фотографии Антона на Unsplash.