Μία ασυνήθιστη εκστρατεία phishing σε χρήστες κινητών τηλεφώνων εντόπισε το Ερευνητικό Κέντρο της εταιρείας κυβερνοασφάλειας ESET και ανέλυσε περιστατικό ηλεκτρονικού ψαρέματος (phishing) που είχε βάλει στο στόχαστρο πελάτες γνωστής τσεχικής τράπεζας.
Αυτή η μέθοδος χρήζει προσοχής επειδή εγκαθιστά την εφαρμογή phishing από μια ιστοσελίδα τρίτου φορέα, χωρίς ο χρήστης να δώσει άδεια εγκατάστασης εφαρμογών τρίτων φορέων.
Στο Android, αυτό μπορεί να οδηγήσει στη «σιωπηλή» εγκατάσταση ενός ειδικού αρχείου APK, το οποίο μάλιστα παρουσιάζεται σα να έχει εγκατασταθεί από το Google Play. Η εκστρατεία είχε στόχο και χρήστες iPhone (iOS).
Η Microsoft και η Google στην κορυφή της λίστας των επιθέσεων Phishing
Οι ιστοσελίδες phishing που έχουν στόχο το λογισμικό iOS καλούν τα θύματα να προσθέσουν μια Προοδευτική Εφαρμογή Ιστού (PWA) στην αρχική τους οθόνη, ενώ στο Android, η PWA εγκαθίσταται μετά την επιβεβαίωση αναδυόμενων παραθύρων στο πρόγραμμα περιήγησης.
Σε αυτό το σημείο, και στα δύο λειτουργικά συστήματα, οι εφαρμογές phishing μοιάζουν σε μεγάλο βαθμό με τις πραγματικές τραπεζικές εφαρμογές τις οποίες μιμούνται.
Οι PWAs είναι ουσιαστικά ιστοσελίδες που μοιάζουν με αυτόνομες εφαρμογές, με την αίσθηση αυτή να ενισχύεται από τη χρήση εντολών του συστήματος.
Οι PWAs είναι cross-platform, γεγονός που εξηγεί πώς αυτές οι εκστρατείες έχουν ως στόχο τόσο χρήστες iOS όσο και χρήστες Android. Η νέα τεχνική παρατηρήθηκε στην Τσεχία από τους ερευνητές της ESET που εργάζονται στην υπηρεσία ESET Brand Intelligence Service, η οποία παρακολουθεί τις απειλές κατά των εμπορικών σημάτων ενός πελάτη.
Πώς λειτουργεί
Η εκστρατεία phishing που αποκάλυψαν οι ερευνητές της ESET, χρησιμοποιούσε τρεις διαφορετικούς μηχανισμούς για τη διανομή διευθύνσεων URL. Αυτοί οι μηχανισμοί περιλαμβάνουν αυτοματοποιημένες φωνητικές κλήσεις, μηνύματα SMS και κακόβουλη διαφήμιση στα μέσα κοινωνικής δικτύωσης.
Στην μια περίπτωση η διανομή της διεύθυνσης URL γίνεται μέσω μιας αυτοματοποιημένης κλήσης που προειδοποιεί το χρήστη για μια τραπεζική εφαρμογή που χρειάζεται ενημέρωση και του ζητά να πατήσει ένα κουμπί στο πληκτρολόγιο. Αφού πατηθεί το σωστό κουμπί, αποστέλλεται μέσω SMS μια διεύθυνση URL phishing.
Η διανομή μέσω SMS πραγματοποιήθηκε με την αποστολή μηνυμάτων αδιακρίτως σε αριθμούς τηλεφώνου στην Τσεχία. Το μήνυμα που εστάλη περιλάμβανε μια διεύθυνση URL phishing και κείμενο για την εξαπάτηση των θυμάτων.
Η κακόβουλη εκστρατεία διαδόθηκε επίσης μέσω διαφημίσεων σε πλατφόρμες της Meta, όπως το Instagram και το Facebook. Αυτές οι διαφημίσεις περιλάμβαναν κάποια περιορισμένη προσφορά για τους χρήστες που θα «κατεβάσουν την ακόλουθη ενημέρωση».
Μετά το άνοιγμα της διεύθυνσης URL που παραδόθηκε στο πρώτο στάδιο, οι χρήστες Android κατευθύνονται είτε σε μια σελίδα phishing που μιμείται την επίσημη σελίδα του καταστήματος Google Play για τη συγκεκριμένη τραπεζική εφαρμογή, είτε σε μια ψεύτικη ιστοσελίδα της εν λόγω εφαρμογής. Από εδώ, τα θύματα καλούνται να εγκαταστήσουν μια «νέα έκδοση» της τραπεζικής εφαρμογής.
Η τεχνολογία των PWA
Η εκστρατεία και η μέθοδος phishing είναι δυνατές μόνο λόγω της τεχνολογίας των Προοδευτικών Εφαρμογών Ιστού (PWA). Εν συντομία, αυτές είναι εφαρμογές που έχουν δημιουργηθεί με τη χρήση παραδοσιακών τεχνολογιών εφαρμογών ιστού και μπορούν να τρέξουν σε πολλαπλές πλατφόρμες και συσκευές.
Τα WebAPKs θα μπορούσαν να θεωρηθούν μια αναβαθμισμένη έκδοση των Προοδευτικών Εφαρμογών Ιστού (PWA), καθώς το πρόγραμμα περιήγησης Chrome παράγει μια εφαρμογή Android από μια PWA: με άλλα λόγια, ένα APK. Αυτά τα WebAPKs μοιάζουν με κανονικές εφαρμογές. Επιπλέον, η εγκατάσταση ενός WebAPK δεν προκαλεί καμία από τις προειδοποιήσεις για «εγκατάσταση από μη αξιόπιστη πηγή». Η εφαρμογή θα εγκατασταθεί ακόμη και αν η εγκατάσταση από τρίτες πηγές δεν επιτρέπεται.
Μια ομάδα χρησιμοποίησε bot του Telegram για να καταγράφει όλες τις εισαγόμενες πληροφορίες σε ομαδική συνομιλία του Telegram μέσω του επίσημου API της εφαρμογής, ενώ μια άλλη ομάδα χρησιμοποίησε έναν παραδοσιακό διακομιστή Command & Control (C&C) με έναν πίνακα διαχείρισης. Οι περισσότερες από τις γνωστές περιπτώσεις συνέβησαν στην Τσεχία, ενώ μόνο δύο εφαρμογές phishing εμφανίστηκαν εκτός της χώρας (συγκεκριμένα στην Ουγγαρία και τη Γεωργία).
Όλες οι ευαίσθητες πληροφορίες που εντοπίστηκαν από την έρευνα της ESET για το θέμα αυτό στάλθηκαν αμέσως στις επηρεαζόμενες τράπεζες για επεξεργασία. Η ESET βοήθησε επίσης στη διακοπή της λειτουργείας πολλαπλών διευθύνσεων phishing στο διαδίκτυο και διακομιστών C&C.
Το σύστημα anti-phishing της Kaspersky απέτρεψε πάνω από 709 εκατομμύρια απόπειρες πρόσβασης σε phishing και scam ιστοσελίδες το 2023, σημειώνοντας αύξηση της τάξης του 40% σε σύγκριση με τα στοιχεία του προηγούμενου έτους.
Οι εφαρμογές ανταλλαγής μηνυμάτων, οι πλατφόρμες τεχνητής νοημοσύνης, οι υπηρεσίες μέσων κοινωνικής δικτύωσης και τα ανταλλακτήρια κρυπτονομισμάτων ήταν μεταξύ των τρόπων που εκμεταλλεύτηκαν συχνότερα οι δράστες για να εξαπατήσουν τους χρήστες.
Ποιο είναι το brand στο οποίο «πόνταραν» οι κυβερνοαπατεώνες
Η ετήσια ανάλυση της Kaspersky για το τοπίο των απειλών spam και phishing έδειξε μια σταθερή τάση για το 2022: τη σημαντική αύξηση των απειλών phishing. Το 2023 η αύξηση αυτή συνέχισε να κλιμακώνεται, ξεπερνώντας το 40% και φτάνοντας τον εντυπωσιακό αριθμό των 709.590.011 προσπαθειών πρόσβασης σε phishing links.
Εκτός από μια σημαντική αύξηση της δραστηριότητας phishing που παρατηρήθηκε τον Μάιο και τον Ιούνιο, ο αριθμός των επιθέσεων αυξήθηκε σταθερά καθ’ όλη τη διάρκεια του έτους. Η τάση αυτή θα μπορούσε να συνδεθεί με την έναρξη της περιόδου διακοπών, κατά την οποία οι απατεώνες συνήθως διαδίδουν απάτες που σχετίζονται με ταξίδια, όπως πλαστά αεροπορικά εισιτήρια, εκδρομές και δελεαστικές προσφορές ξενοδοχείων.
Η διαδεδομένη ενσωμάτωση τεχνολογιών που διαθέτουν εγκατεστημένα GPT chats έχει προσφέρει στους επιτήδειους νέες δυνατότητες εκμετάλλευσης. Ωστόσο, οι δράστες δεν έχουν ξεχάσει τις παραδοσιακές τους τακτικές. Οι σημαντικές κυκλοφορίες, εκδηλώσεις και πρεμιέρες, όπως η Barbie και το Wonka, ήταν δελεαστικές για τους phishers και τους απατεώνες, των οποίων οι πλαστές ιστοσελίδες ξεγέλασαν όσους ήθελαν να κάνουν κράτηση για το επόμενο μεγάλο γεγονός νωρίτερα ή με μειωμένη τιμή.
Επιπλέον, οι ειδικοί της Kaspersky έχουν παρατηρήσει μια αύξηση των επιθέσεων που διαδίδονται από πλατφόρμες ανταλλαγής μηνυμάτων. Οι λύσεις της Kaspersky απέτρεψαν 62.127 απόπειρες ανακατεύθυνσης μέσω phishing και scam links στο Telegram, μια αξιοσημείωτη αύξηση της τάξης του 22% σε σχέση με το προηγούμενο έτος σε τέτοιου είδους απειλές.
Όπως και το προηγούμενο έτος, η πλειονότητα των προσπαθειών ανακατεύθυνσης των messengers μέσω συνδέσμων phishing και scam εμποδίστηκε από τις λύσεις της Kaspersky σε συσκευές που ανήκουν σε χρήστες στη Ρωσία. Η Βραζιλία διατήρησε τη δεύτερη θέση, διπλασιάζοντας τον αριθμό των μπλοκαρισμένων επιθέσεων phishing, ακολουθούμενη από την Τουρκία, την Ινδία, τη Γερμανία και την Ιταλία, όπου αυξήθηκε επίσης το phishing με βάση το Telegram. Οι χρήστες από το Μεξικό κατέλαβαν την έβδομη θέση αυτή τη φορά, εκτοπίζοντας τη Σαουδική Αραβία από την πρώτη επτάδα.
Για να αποφύγετε απάτες μέσω phishing, οι ειδικοί της Kaspersky συμβουλεύουν:
Ανοίξτε μόνο emails και κάντε κλικ σε συνδέσμους εφόσον είστε σίγουροι ότι εμπιστεύεστε τον αποστολέα.
Όταν ο αποστολέας είναι νόμιμος αλλά το περιεχόμενο του μηνύματος φαίνεται περίεργο, αξίζει να ελέγξετε τον αποστολέα μέσω ενός εναλλακτικού μέσου επικοινωνίας.
Ελέγξτε την ορθογραφία της διεύθυνσης URL ενός ιστότοπου εάν υποψιάζεστε ότι βρίσκεστε αντιμέτωποι με μια σελίδα phishing. Εάν ναι, η διεύθυνση URL μπορεί να περιέχει λάθη που είναι δύσκολο να εντοπιστούν με την πρώτη ματιά, όπως ένα 1 αντί για I ή ένα 0 αντί για O.
Χρησιμοποιήστε μια πιστοποιημένη λύση ασφαλείας όταν σερφάρετε στο διαδίκτυο. Χάρη στην πρόσβαση σε διεθνείς πηγές πληροφοριών για απειλές, αυτές οι λύσεις διαθέτουν την ικανότητα να εντοπίζουν και να αποκλείουν απόπειρες spam και phishing.