一名安全研究人员发现了一种网络钓鱼攻击,旨在欺骗 iPhone 用户安装据称是其银行应用程序的更新。
尽管有 iOS 保护,但攻击仍然有效,因为实际“安装”的是渐进式 Web 应用程序,不涉及 App Store 审查或警告……
渐进式 Web 应用程序 (PWA)
渐进式网络应用程序本质上是外观和行为类似于应用程序的网站。事实上,当 iPhone 于 2007 年首次推出时,PWA 是第三方开发者推出应用程序的唯一方式。
苹果联合创始人史蒂夫·乔布斯当时这样评价他们:
完整的 Safari 引擎位于 iPhone 内部。因此,您可以编写令人惊叹的 Web 2.0 和 Ajax 应用程序,它们的外观和行为都与 iPhone 上的应用程序完全相同。而且这些应用程序可以与iPhone服务完美集成。他们可以打电话、发送电子邮件、在 Google 地图上查找位置。
你猜怎么着?没有您需要的 SDK!如果您知道如何使用最现代的 Web 标准编写应用程序,为当今的 iPhone 编写出色的应用程序,那么您就拥有了所需的一切。开发者们,我们为你们准备了一个非常甜蜜的故事。您今天就可以开始构建您的 iPhone 应用程序。
Apple 很快意识到原生 iPhone 应用程序可以提供更好的体验,一年后 App Store 诞生了,但今天您仍然可以使用 PWA。
利用虚假银行应用程序更新进行网络钓鱼攻击
网络安全公司 ESET 发现 PWA 被用来针对 Android 和 iPhone 用户。这些攻击通过多种方式进行,包括短信、社交媒体上的广告和语音通话。
语音呼叫是通过自动呼叫完成的,该呼叫会警告用户有关过时的银行应用程序,并要求用户在数字键盘上选择一个选项。按正确的按钮后,将通过短信发送网络钓鱼 URL […]
针对 iOS 的网络钓鱼网站指示受害者将渐进式 Web 应用程序 (PWA) 添加到其主屏幕,而在 Android 上,PWA 是在确认浏览器中的自定义弹出窗口后安装的。此时,在这两个操作系统上,这些网络钓鱼应用程序在很大程度上与它们模仿的真实银行应用程序没有区别。
一旦用户登录到虚假应用程序,它就会捕获他们的登录详细信息并将其发送给攻击者。
iPhone 用户可能面临特别的风险,因为许多人认为他们的设备不会受到恶意软件的侵害。
对于 iOS 用户,动画弹出窗口会指导受害者如何将网络钓鱼 PWA 添加到主屏幕。该弹出窗口复制了本机 iOS 提示的外观。最后,即使是 iOS 用户也不会收到有关在手机中添加可能有害的应用程序的警告。
到目前为止,在野外看到的实例一直针对捷克和匈牙利用户,但相同的技术可以轻松地在全球范围内使用。
如何保护自己
始终以怀疑的态度对待银行声称的任何通信,无论是短信、电子邮件还是语音通话。最安全的方法始终是挂断电话并使用已知的真实号码(例如印在银行对账单或支付卡上的号码)致电您的银行,以在采取行动之前验证您所提供的任何信息。
银行应用程序的任何正版更新都可以通过访问 App Store 获得。
。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)