小心!新型网络钓鱼技术利用复杂的 Web 应用程序攻击手机银行用户
一种新的令人担忧的网络钓鱼技术已经出现,对 iOS 和 Android 平台上的移动银行用户构成了严重威胁。根据反恶意软件供应商 ESET 最近发出的警告,网络犯罪分子正在利用渐进式 Web 应用程序 (PWA) 和 WebAPK 绕过安全措施并窃取敏感的银行凭证。
目录
攻击如何进行
这项新的网络钓鱼活动利用了 PWA 的灵活性,PWA 是一种设计为外观和功能与原生应用相似的网络应用。PWA 不需要用户启用第三方应用安装,因此看起来不那么可疑。网络犯罪分子指示 iOS 用户将这些 PWA 添加到主屏幕,而 Android 用户则被要求确认浏览器中的自定义弹出窗口,从而导致安装这些欺骗性应用。
对于 Android 用户来说,使用 WebAPK 会使威胁升级。这些本质上是升级版的 PWA,模仿合法应用程序的外观和行为,经常欺骗用户相信他们是从 Google Play 下载的。ESET 的研究强调,即使用户不允许安装来自未知来源的应用程序,这些 WebAPK 也不会触发通常的安全警告。安装后,这些恶意应用程序会无缝融入用户的设备,显示图标和信息,表明它们是官方银行应用程序。
分发方法
这些钓鱼应用程序的分发是通过自动语音呼叫、社交媒体恶意广告和短信的组合进行的。诱骗用户点击链接,这些链接会将他们引导至类似于官方应用商店或目标银行网站的虚假网站。然后,他们会被提示安装看似是手机银行应用程序更新的程序。
安装后,这些应用程序会以访问银行账户为幌子请求用户的登录凭据。在用户不知情的情况下,这些敏感信息会立即发送到攻击者的命令和控制 (C&C) 服务器。
威胁形势
ESET 的调查表明,此次网络钓鱼活动可能始于 2023 年 11 月,C&C 服务器将于 2024 年 3 月开始活跃。虽然攻击主要针对捷克共和国的手机银行用户,但攻击也针对了匈牙利和格鲁吉亚的个人。ESET 已确定这些攻击背后有两个不同的威胁行为者,每个都使用类似的技术来危害用户。
此外,人们越来越担心这些攻击者会通过开发更多山寨应用程序来扩大他们的武器库。这些 PWA 和 WebAPK 的复杂性使它们特别危险,因为它们几乎与合法的银行应用程序难以区分。
保护自己免受威胁
随着此类先进网络钓鱼技术的兴起,用户保持警惕比以往任何时候都更加重要。以下是您可以采取的一些保护自己的步骤:
- 谨慎安装应用程序:避免安装非官方应用商店提供的应用程序。如果系统提示您通过链接安装应用程序或更新,请先验证其合法性。
- 注意不寻常的请求:警惕任何请求敏感信息的应用程序,例如登录凭据或银行详细信息,特别是如果它声称是更新。
- 保持知情:随时了解最新的安全新闻,并确保您设备的安全软件已更新,以检测和阻止此类威胁。
这种新的网络钓鱼技术凸显了网络犯罪分子的手段不断演变,用户需要提高警惕。随着合法应用程序和欺诈应用程序之间的界限越来越模糊,保持知情和谨慎是您最好的防御手段。