提防!新的網路釣魚技術透過複雜的 Web 應用程式瞄準行動銀行用戶
一種令人擔憂的新型網路釣魚技術已經出現,對 iOS 和 Android 平台上的手機銀行用戶構成嚴重威脅。根據反惡意軟體供應商 ESET 最近發出的警告,網路犯罪分子正在利用漸進式 Web 應用程式 (PWA) 和 WebAPK 繞過安全措施並竊取敏感的銀行憑證。
目錄
攻擊如何進行
這個新的網路釣魚活動利用了 PWA 的靈活性,PWA 是一種 Web 應用程序,其外觀和功能類似於本機應用程式。 PWA 不要求用戶啟用第三方應用程式安裝,這使得它們看起來不那麼可疑。網路犯罪分子指示 iOS 用戶將這些 PWA 添加到主螢幕,而 Android 用戶則被要求確認瀏覽器中的自訂彈出窗口,從而導致安裝這些欺騙性應用程式。
對於 Android 用戶來說,威脅隨著 WebAPK 的使用而升級。這些本質上是升級的 PWA,模仿合法應用程式的外觀和行為,通常會欺騙用戶,讓他們相信他們是從 Google Play 下載的。 ESET 的研究強調,即使使用者不允許安裝來自未知來源的應用程序,這些 WebAPK 也不會觸發常見的安全性警告。安裝後,這些惡意應用程式會無縫地融入用戶的裝置中,顯示表明它們是官方銀行應用程式的圖示和資訊。
分配方式
這些網路釣魚應用程式的分發是透過自動語音通話、社群媒體惡意廣告和簡訊的組合精心策劃的。用戶被引誘點擊鏈接,將他們引導至類似於官方應用商店或目標銀行網站的虛假網站。然後,系統會提示他們安裝似乎是行動銀行應用程式的更新。
安裝後,這些應用程式會以存取其銀行帳戶為幌子請求使用者提供登入憑證。在使用者不知情的情況下,這些敏感資訊會立即傳送到攻擊者的命令和控制 (C&C) 伺服器。
威脅情勢
ESET 的調查表明,該網路釣魚活動可能在 2023 年 11 月開始,C&C 伺服器於 2024 年 3 月開始活躍。 ESET 已確定這些攻擊背後有兩個獨立的威脅參與者,每個威脅參與者都使用類似的技術來危害使用者。
此外,人們越來越擔心這些攻擊者會透過開發更多模仿應用程式來擴大他們的武器庫。這些 PWA 和 WebAPK 的複雜性使它們特別危險,因為它們與合法的銀行應用程式幾乎沒有區別。
保護自己免受威脅
隨著這類先進網路釣魚技術的興起,使用者保持警戒比以往任何時候都更加重要。您可以採取以下一些步驟來保護自己:
- 謹慎安裝應用程式:避免安裝不是直接來自官方應用程式商店的應用程式。如果提示透過連結安裝應用程式或更新,請先驗證其合法性。
- 留意異常請求:警惕任何請求敏感資訊(例如登入憑證或銀行詳細資訊)的應用程序,尤其是當它聲稱是更新時。
- 隨時了解情況:隨時了解最新的安全新聞,並確保您裝置的安全軟體已更新,以偵測和阻止此類威脅。
這種新的網路釣魚技術凸顯了網路犯罪分子不斷變化的策略以及提高使用者意識的必要性。隨著合法和詐欺申請之間的界限不斷模糊,保持知情和謹慎是您最好的防禦。