Android和iOS設備小心 新型釣魚攻擊來襲
近期,捷克、匈牙利和喬治亞發現一種複雜的行動釣魚技術,這種技術利用漸進式網頁應用程式(PWA),並在Android和iOS設備上逐漸擴散。
編譯/Cynthia
近期,捷克、匈牙利和喬治亞發現一種複雜的行動釣魚技術,這種技術利用漸進式網頁應用程式(PWA),並在Android和iOS設備上逐漸擴散。漸進式網頁應用程式,是一種可以提供類似原來應用程式體驗的網頁應用,攻擊者藉此繞過傳統應用程式安裝的限制,直接在受害者的設備上,安裝釣魚應用程式。這種手法提高釣魚攻擊的隱蔽性,也讓防範變得更加困難。
技術亮點
這種新釣魚手法亮點,是它不需要使用者允許第三方應用程式的安裝,能直接從第三方網站安裝釣魚應用程式。這突破傳統的應用安裝限制,使得釣魚攻擊更加隱蔽。根據ESET資安公司的報告,這些攻擊利用漸進式網頁應用程式技術,可以直接在目標設備上安裝不明應用程式,進一步提升攻擊的危害性。
iOS與Android的不同手法
在iOS平台上,攻擊者會利用釣魚網站,假冒知名應用程式的登入畫面,誘使受害者將漸進式網頁應用程式添加到主畫面。這些漸進式網頁應用程式看似獨立,實際上模擬原來行動應用的行為,使得受害者難以識別。
對於Android設備,攻擊者則通過瀏覽器彈出的自定義對話框來確認安裝,靜默地將漸進式網頁應用程式安裝為WebAPK。WebAPK是升級版的漸進式網頁應用程式,可以更好地模擬原來應用程式,並且由Chrome瀏覽器生成,增加攻擊的隱蔽性。
釣魚活動的攻擊範圍與手法
這些釣魚活動主要針對捷克、匈牙利和喬治亞的多家銀行,顯示出其目標範圍之廣。攻擊者採用三種主要的URL連結傳遞方式來散佈釣魚連結,首先是語音通話,透過自動化的電話警告用戶其銀行應用過時,並要求用戶在數字鍵盤上選擇選項,隨後發送釣魚連結。其次是簡訊,直接發送含有釣魚連結的簡訊給用戶電話號碼。最後是惡意廣告,通過Meta平台上的廣告誘惑用戶下載「更新」,進一步擴大攻擊範圍。
研究結果與未來展望
ESET於2023年11月首次發現這種新的釣魚手法,並在同年中旬注意到WebAPK的應用變化。研究人員推測,這些釣魚活動可能涉及兩個不同的威脅行為者,顯示出攻擊者之間可能存在合作或資訊共享。ESET已經通知受影響的銀行,並建議他們加強防範措施,以應對這項新興威脅。隨著漸進式網頁應用程式技術的普及,這類釣魚手法可能會變得更加普遍,因此資安防護需要持續更新,以應對未來的挑戰。
※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!
這篇文章 Android和iOS設備小心 新型釣魚攻擊來襲 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。
- 新聞關鍵字: iOS
- 記者:洪嘉宏
- 更多科技新聞 »
