Awas! Teknik Phishing Baharu Menyasarkan Pengguna Perbankan Mudah Alih dengan Aplikasi Web Canggih
Teknik pancingan data yang baharu dan berkaitan telah muncul, menimbulkan ancaman serius kepada pengguna perbankan mudah alih pada kedua-dua platform iOS dan Android. Menurut amaran baru-baru ini daripada vendor anti-malware ESET, penjenayah siber memanfaatkan Aplikasi Web Progresif (PWA) dan WebAPK untuk memintas langkah keselamatan dan mencuri bukti kelayakan perbankan yang sensitif.
Isi kandungan
Bagaimana Serangan Berfungsi
Kempen pancingan data baharu ini mengambil kesempatan daripada fleksibiliti PWA, iaitu aplikasi web yang direka bentuk untuk kelihatan dan berfungsi seperti apl asli. PWA tidak memerlukan pengguna mendayakan pemasangan apl pihak ketiga, menjadikannya kelihatan kurang mencurigakan. Penjenayah siber mengarahkan pengguna iOS untuk menambahkan PWA ini pada skrin utama mereka, manakala pengguna Android diminta mengesahkan pop timbul tersuai dalam penyemak imbas mereka, yang membawa kepada pemasangan aplikasi menipu ini.
Bagi pengguna Android, ancaman meningkat dengan penggunaan WebAPK. Ini pada asasnya ialah PWA yang dinaik taraf yang meniru rupa dan gelagat apl yang sah, selalunya memperdayakan pengguna untuk mempercayai mereka telah memuat turun apl tersebut daripada Google Play. Penyelidikan ESET menyerlahkan bahawa WebAPK ini tidak mencetuskan amaran keselamatan biasa, walaupun pengguna tidak membenarkan pemasangan apl daripada sumber yang tidak diketahui. Setelah dipasang, aplikasi berniat jahat ini digabungkan dengan lancar ke dalam peranti pengguna, memaparkan ikon dan maklumat yang mencadangkan ia adalah apl perbankan rasmi.
Kaedah Pengedaran
Pengedaran aplikasi pancingan data ini diatur melalui gabungan panggilan suara automatik, penyelewengan media sosial dan mesej SMS. Pengguna terjebak untuk mengklik pautan yang mengarahkan mereka ke tapak web palsu yang menyerupai kedai aplikasi rasmi atau tapak web bank yang disasarkan. Mereka kemudiannya digesa untuk memasang apa yang kelihatan seperti kemas kini untuk apl perbankan mudah alih mereka.
Selepas pemasangan, apl ini meminta kelayakan log masuk pengguna dengan berselindung untuk mengakses akaun perbankan mereka. Tanpa disedari oleh pengguna, maklumat sensitif ini segera dihantar ke pelayan arahan dan kawalan (C&C) penyerang.
Landskap Ancaman
Siasatan ESET menunjukkan bahawa kempen pancingan data ini mungkin bermula pada November 2023, dengan pelayan C&C mula aktif menjelang Mac 2024. Walaupun tumpuan utama diberikan kepada pengguna perbankan mudah alih di Republik Czech, serangan itu turut menyasarkan individu di Hungary dan Georgia. ESET telah mengenal pasti dua pelaku ancaman berasingan di sebalik serangan ini, masing-masing menggunakan teknik yang sama untuk menjejaskan pengguna.
Selain itu, terdapat kebimbangan yang semakin meningkat bahawa penyerang ini akan mengembangkan senjata mereka dengan membangunkan lebih banyak aplikasi peniru. Kecanggihan PWA dan WebAPK ini menjadikannya sangat berbahaya, kerana ia hampir tidak dapat dibezakan daripada apl perbankan yang sah.
Melindungi Diri Anda daripada Ancaman
Dengan kemunculan teknik pancingan data yang canggih, adalah lebih kritikal berbanding sebelum ini bagi pengguna untuk terus berwaspada. Berikut ialah beberapa langkah yang boleh anda ambil untuk melindungi diri anda:
- Berhati-hati dengan pemasangan apl : Elakkan memasang apl yang tidak datang terus daripada gedung apl rasmi. Jika digesa untuk memasang apl atau kemas kini melalui pautan, sahkan kesahihannya dahulu.
- Berhati-hati dengan permintaan luar biasa : Berwaspada terhadap sebarang apl yang meminta maklumat sensitif, seperti bukti kelayakan log masuk atau butiran perbankan, terutamanya jika ia mendakwa sebagai kemas kini.
- Sentiasa dimaklumkan : Ikuti perkembangan terkini dengan berita keselamatan terkini dan pastikan perisian keselamatan peranti anda dikemas kini untuk mengesan dan menyekat jenis ancaman ini.
Teknik pancingan data baharu ini menekankan taktik penjenayah siber yang semakin berkembang dan keperluan untuk meningkatkan kesedaran di kalangan pengguna. Memandangkan garis antara aplikasi yang sah dan penipuan terus kabur, sentiasa bermaklumat dan berhati-hati adalah pertahanan terbaik anda.