超级会员免费看
ESET 研究人员发现了一种罕见的网络钓鱼活动,专门针对 Android 和 iPhone 用户。他们分析了一个在野外观察到的案例,该案例主要是针对一家著名的捷克银行的客户。
值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序,而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的 APK,隐蔽性很高,很难发现,它看起来甚至有点像是用户从 Google Play 商店安装的。这种钓鱼攻击威胁也针对 iOS 用户。
PWA 网络钓鱼流程(来源:ESET)
针对 iOS 的钓鱼网站会指示受害者在主屏幕上添加渐进式网络应用程序 (PWA),而在 Android 上,PWA 是在浏览器中确认自定义弹出窗口后安装的。在这一点上,这些钓鱼应用程序与它们在这两个操作系统上模仿的真实银行应用程序基本没有区别。
PWA 本质上是将网站捆绑到一个看似独立的应用程序中,并通过使用本地系统提示增强了其虚假的独立性。与网站一样,PWA 也是跨平台的,这就解释了为什么这些 PWA 网络钓鱼活动可以既针对 iOS 又针对 Android 用户。负责 ESET 品牌情报服务的 ESET 分析师在捷克观察到了这种新技术,该服务可监控针对客户品牌的威胁。
分析该威胁的 ESET 研究员 Jakub Osmani 表示:对于 iPhone 用户来说,这种行为可能会打破任何有关安全的‘围墙花园
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
