Експерти з кібербезпеки б’ють на сполох: зловмисники винайшли новий метод викрадення банківських даних користувачів смартфонів. Використовуючи технологію прогресивних веб-додатків (PWA), хакери створюють фальшиві банківські застосунки, які практично неможливо відрізнити від справжніх. Ця техніка становить серйозну загрозу для користувачів як Android, так і iOS пристроїв.
Що таке PWA і чому вони небезпечні?
Прогресивні веб-додатки (PWA) – це кросплатформні застосунки, які встановлюються безпосередньо з браузера. Вони мають функціональність нативних додатків, включаючи push-сповіщення, доступ до апаратного забезпечення та фонову синхронізацію даних. Використання PWA у фішингових кампаніях дозволяє зловмисникам:
- Обходити системи виявлення шкідливого ПЗ
- Ігнорувати обмеження на встановлення додатків з ненадійних джерел
- Отримувати небезпечні дозволи на пристрої без відома користувача
Як працює нова схема атаки?
Хакери використовують різні методи для поширення шкідливих PWA:
1. Автоматичні дзвінки та SMS
Зловмисники повідомляють користувачам, що їхній банківський додаток застарів і потребує термінового оновлення. Вони надають посилання для завантаження фішингового PWA.
2. Шкідлива реклама в соціальних мережах
Хакери створюють рекламу, що імітує офіційні повідомлення банків. Вони пропонують обмежені за часом акції або грошові винагороди за встановлення “оновлень”.
3. Фальшиві сторінки магазинів додатків
При переході за посиланням користувач потрапляє на підроблену сторінку Google Play або App Store. Натискання кнопки “Встановити” призводить до інсталяції шкідливого PWA.
Чому PWA-фішинг особливо небезпечний?
Використання PWA для фішингу має кілька критичних переваг для зловмисників:
- Кросплатформність: одна кампанія охоплює користувачів різних ОС
- Обхід обмежень: PWA не потребують встановлення з офіційних магазинів
- Висока схожість: фальшиві PWA візуально ідентичні справжнім додаткам
- Розширений доступ: PWA можуть отримувати дозволи без явних запитів
- Гнучкість: зловмисники можуть оновлювати PWA без відома користувача
Як захиститися від PWA-фішингу?
Для захисту від цієї нової загрози експерти з кібербезпеки рекомендують:
- Встановлювати банківські додатки лише з офіційних магазинів
- Перевіряти URL-адреси перед введенням конфіденційних даних
- Не переходити за посиланнями з підозрілих повідомлень
- Використовувати двофакторну автентифікацію
- Регулярно оновлювати ОС та антивірусне ПЗ
PWA-фішинг – це нова небезпечна тенденція, яка може швидко набрати популярності серед кіберзлочинців. Користувачам смартфонів слід бути особливо пильними та дотримуватися базових правил цифрової гігієни. Тільки комплексний підхід до кібербезпеки допоможе захистити свої фінансові дані від сучасних загроз.