ਸਾਵਧਾਨ! ਨਵੀਂ ਫਿਸ਼ਿੰਗ ਤਕਨੀਕ ਆਧੁਨਿਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਾਲੇ ਮੋਬਾਈਲ ਬੈਂਕਿੰਗ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ
ਆਈਓਐਸ ਅਤੇ ਐਂਡਰੌਇਡ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਮੋਬਾਈਲ ਬੈਂਕਿੰਗ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਗੰਭੀਰ ਖਤਰਾ ਪੈਦਾ ਕਰਨ ਵਾਲੀ ਇੱਕ ਨਵੀਂ ਅਤੇ ਫਿਸ਼ਿੰਗ ਤਕਨੀਕ ਸਾਹਮਣੇ ਆਈ ਹੈ। ਐਂਟੀ-ਮਾਲਵੇਅਰ ਵਿਕਰੇਤਾ ESET ਦੀ ਇੱਕ ਤਾਜ਼ਾ ਚੇਤਾਵਨੀ ਦੇ ਅਨੁਸਾਰ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਲਈ ਪ੍ਰੋਗਰੈਸਿਵ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ (PWAs) ਅਤੇ WebAPKs ਦਾ ਲਾਭ ਲੈ ਰਹੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ
ਇਹ ਨਵੀਂ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ PWAs ਦੀ ਲਚਕਤਾ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੀ ਹੈ, ਜੋ ਕਿ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਹਨ ਜੋ ਕਿ ਨੇਟਿਵ ਐਪਸ ਦੀ ਤਰ੍ਹਾਂ ਦੇਖਣ ਅਤੇ ਕੰਮ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। PWAs ਨੂੰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਤੀਜੀ-ਧਿਰ ਐਪ ਸਥਾਪਨਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ ਘੱਟ ਸ਼ੱਕੀ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਆਈਓਐਸ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹਨਾਂ PWA ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਹੋਮ ਸਕ੍ਰੀਨਾਂ ਵਿੱਚ ਜੋੜਨ ਲਈ ਨਿਰਦੇਸ਼ ਦੇ ਰਹੇ ਹਨ, ਜਦੋਂ ਕਿ ਐਂਡਰਾਇਡ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਬ੍ਰਾਉਜ਼ਰਾਂ ਵਿੱਚ ਕਸਟਮ ਪੌਪ-ਅਪਸ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹਨਾਂ ਧੋਖੇਬਾਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਸਥਾਪਨਾ ਹੁੰਦੀ ਹੈ।
Android ਉਪਭੋਗਤਾਵਾਂ ਲਈ, WebAPKs ਦੀ ਵਰਤੋਂ ਨਾਲ ਖ਼ਤਰਾ ਵਧਦਾ ਹੈ। ਇਹ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਅੱਪਗ੍ਰੇਡ ਕੀਤੇ PWAs ਹਨ ਜੋ ਜਾਇਜ਼ ਐਪਾਂ ਦੀ ਦਿੱਖ ਅਤੇ ਵਿਵਹਾਰ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ, ਅਕਸਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹ ਵਿਸ਼ਵਾਸ ਕਰਨ ਲਈ ਮੂਰਖ ਬਣਾਉਂਦੇ ਹਨ ਕਿ ਉਹਨਾਂ ਨੇ ਉਹਨਾਂ ਨੂੰ Google Play ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤਾ ਹੈ। ESET ਦੀ ਖੋਜ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ WebAPKs ਆਮ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਚਾਲੂ ਨਹੀਂ ਕਰਦੇ ਹਨ, ਭਾਵੇਂ ਉਪਭੋਗਤਾ ਨੇ ਅਣਜਾਣ ਸਰੋਤਾਂ ਤੋਂ ਐਪਸ ਦੀ ਸਥਾਪਨਾ ਦੀ ਇਜਾਜ਼ਤ ਨਾ ਦਿੱਤੀ ਹੋਵੇ। ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਖਤਰਨਾਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਉਪਭੋਗਤਾ ਦੇ ਡਿਵਾਈਸ ਵਿੱਚ ਸਹਿਜੇ ਹੀ ਮਿਲ ਜਾਂਦੀਆਂ ਹਨ, ਆਈਕਾਨ ਅਤੇ ਜਾਣਕਾਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀਆਂ ਹਨ ਜੋ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ ਕਿ ਉਹ ਅਧਿਕਾਰਤ ਬੈਂਕਿੰਗ ਐਪਸ ਹਨ।
ਵੰਡ ਦੇ ਤਰੀਕੇ
ਇਹਨਾਂ ਫਿਸ਼ਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਵੰਡ ਸਵੈਚਲਿਤ ਵੌਇਸ ਕਾਲਾਂ, ਸੋਸ਼ਲ ਮੀਡੀਆ ਖਰਾਬੀ, ਅਤੇ SMS ਸੁਨੇਹਿਆਂ ਦੇ ਸੁਮੇਲ ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਦਾ ਲਾਲਚ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨੂੰ ਅਧਿਕਾਰਤ ਐਪ ਸਟੋਰਾਂ ਜਾਂ ਨਿਸ਼ਾਨਾ ਬੈਂਕ ਦੀ ਵੈੱਬਸਾਈਟ ਵਰਗੀਆਂ ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਭੇਜਦੇ ਹਨ। ਫਿਰ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਮੋਬਾਈਲ ਬੈਂਕਿੰਗ ਐਪ ਲਈ ਇੱਕ ਅੱਪਡੇਟ ਜਾਪਦਾ ਹੈ, ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਇੰਸਟਾਲੇਸ਼ਨ 'ਤੇ, ਇਹ ਐਪਸ ਉਪਭੋਗਤਾ ਦੇ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਲਈ ਉਹਨਾਂ ਦੇ ਬੈਂਕਿੰਗ ਖਾਤੇ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ ਬੇਨਤੀ ਕਰਦੇ ਹਨ। ਉਪਭੋਗਤਾ ਲਈ ਅਣਜਾਣ, ਇਹ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੁਰੰਤ ਹਮਲਾਵਰਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰਾਂ ਨੂੰ ਭੇਜੀ ਜਾਂਦੀ ਹੈ।
ਧਮਕੀ ਲੈਂਡਸਕੇਪ
ESET ਦੀ ਜਾਂਚ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਨਵੰਬਰ 2023 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਹੈ, ਮਾਰਚ 2024 ਤੱਕ C&C ਸਰਵਰ ਸਰਗਰਮ ਹੋਣ ਦੇ ਨਾਲ। ਜਦੋਂ ਕਿ ਪ੍ਰਾਇਮਰੀ ਫੋਕਸ ਚੈੱਕ ਗਣਰਾਜ ਵਿੱਚ ਮੋਬਾਈਲ ਬੈਂਕਿੰਗ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਹੈ, ਹਮਲਿਆਂ ਨੇ ਹੰਗਰੀ ਅਤੇ ਜਾਰਜੀਆ ਵਿੱਚ ਵਿਅਕਤੀਆਂ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ESET ਨੇ ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੇ ਪਿੱਛੇ ਦੋ ਵੱਖੋ-ਵੱਖਰੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਹਰੇਕ ਉਪਭੋਗਤਾ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਸਮਾਨ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਚਿੰਤਾ ਵਧ ਰਹੀ ਹੈ ਕਿ ਇਹ ਹਮਲਾਵਰ ਵਧੇਰੇ ਕਾਪੀਕੈਟ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਵਿਕਸਤ ਕਰਕੇ ਆਪਣੇ ਹਥਿਆਰਾਂ ਦਾ ਵਿਸਥਾਰ ਕਰਨਗੇ। ਇਹਨਾਂ PWAs ਅਤੇ WebAPKs ਦੀ ਸੂਝ-ਬੂਝ ਉਹਨਾਂ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਖ਼ਤਰਨਾਕ ਬਣਾਉਂਦੀ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਜਾਇਜ਼ ਬੈਂਕਿੰਗ ਐਪਾਂ ਤੋਂ ਲਗਭਗ ਵੱਖਰੇ ਹੋ ਸਕਦੇ ਹਨ।
ਆਪਣੇ ਆਪ ਨੂੰ ਖ਼ਤਰੇ ਤੋਂ ਬਚਾਓ
ਅਜਿਹੀਆਂ ਉੱਨਤ ਫਿਸ਼ਿੰਗ ਤਕਨੀਕਾਂ ਦੇ ਉਭਾਰ ਦੇ ਨਾਲ, ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਸੁਚੇਤ ਰਹਿਣਾ ਪਹਿਲਾਂ ਨਾਲੋਂ ਕਿਤੇ ਵੱਧ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਇੱਥੇ ਕੁਝ ਕਦਮ ਹਨ ਜੋ ਤੁਸੀਂ ਆਪਣੇ ਆਪ ਨੂੰ ਬਚਾਉਣ ਲਈ ਚੁੱਕ ਸਕਦੇ ਹੋ:
- ਐਪ ਸਥਾਪਨਾਵਾਂ ਦੇ ਨਾਲ ਸਾਵਧਾਨ ਰਹੋ : ਉਹਨਾਂ ਐਪਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਬਚੋ ਜੋ ਸਿੱਧੇ ਅਧਿਕਾਰਤ ਐਪ ਸਟੋਰਾਂ ਤੋਂ ਨਹੀਂ ਆਉਂਦੀਆਂ ਹਨ। ਜੇਕਰ ਲਿੰਕ ਰਾਹੀਂ ਕਿਸੇ ਐਪ ਜਾਂ ਅੱਪਡੇਟ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਪਹਿਲਾਂ ਇਸਦੀ ਵੈਧਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ।
- ਅਸਧਾਰਨ ਬੇਨਤੀਆਂ ਲਈ ਧਿਆਨ ਰੱਖੋ : ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਬੇਨਤੀ ਕਰਨ ਵਾਲੀ ਕਿਸੇ ਵੀ ਐਪ ਤੋਂ ਸਾਵਧਾਨ ਰਹੋ, ਜਿਵੇਂ ਕਿ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ ਜਾਂ ਬੈਂਕਿੰਗ ਵੇਰਵਿਆਂ, ਖਾਸ ਤੌਰ 'ਤੇ ਜੇਕਰ ਇਹ ਅੱਪਡੇਟ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦੀ ਹੈ।
- ਸੂਚਿਤ ਰਹੋ : ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਖ਼ਬਰਾਂ ਨਾਲ ਅਪ ਟੂ ਡੇਟ ਰਹੋ ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੀ ਡਿਵਾਈਸ ਦੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਨੂੰ ਇਸ ਕਿਸਮ ਦੇ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਅਪਡੇਟ ਕੀਤਾ ਗਿਆ ਹੈ।
ਇਹ ਨਵੀਂ ਫਿਸ਼ਿੰਗ ਤਕਨੀਕ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੀਆਂ ਵਿਕਸਿਤ ਹੋ ਰਹੀਆਂ ਚਾਲਾਂ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਵਿੱਚ ਵੱਧ ਤੋਂ ਵੱਧ ਜਾਗਰੂਕਤਾ ਦੀ ਲੋੜ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ। ਜਿਵੇਂ ਕਿ ਜਾਇਜ਼ ਅਤੇ ਧੋਖੇਬਾਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿਚਕਾਰ ਰੇਖਾ ਧੁੰਦਲੀ ਹੁੰਦੀ ਜਾ ਰਹੀ ਹੈ, ਸੂਚਿਤ ਅਤੇ ਸਾਵਧਾਨ ਰਹਿਣਾ ਤੁਹਾਡਾ ਸਭ ਤੋਂ ਵਧੀਆ ਬਚਾਅ ਹੈ।