fbpx
Photo by Sebastiaan Stam, Pexels

אף אחד לא חסין: קמפיין פישינג חדש מאיים על משתמשי iOS ואנדרואיד

חברת אבטחת המידע ESET חושפת קמפיין פישינג חדש ומתקדם, שמצליח לפגוע במשתמשי מכשירים ניידים, הן במערכת Android והן ב-iOS, באמצעות טכניקות מתוחכמות שמקשות על המשתמשים לזהות את הסכנה.

מאת מערכת האתר

בזמן שהאינטרנט ממשיך להיות חלק בלתי נפרד מחיינו, כך גם האיומים מתפתחים ומשתכללים. אחד האיומים המרכזיים שצובר תאוצה בשנים האחרונות הוא קמפיין הפישינג – תקיפה המנצלת חולשות אנושיות וטכנולוגיות כדי לגנוב מידע רגיש.

חברת אבטחת המידע ESET חשפה לאחרונה קמפיין פישינג חדש, המכוון למשתמשי מכשירי אנדרואיד ו-iOS כאחד. הקמפיין, אשר התמקד בעיקר בלקוחות של בנק צ'כי, מתאפיין בטכניקה מתוחכמת המאפשרת התקנת אפליקציית פישינג שדומה מאוד לזו של הבנק, מתוך אתר חיצוני וללא צורך באישור מפורש מצד המשתמש.

Ad image

המיוחד בטכניקה זו הוא הקושי בהבחנה בין האפליקציה החשודה לבין אפליקציות בנקאיות אמיתיות, מה שמעלה את הסיכון למשתמשים בשתי מערכות ההפעלה. לדברי יקוב אוסמני, חוקר ESET שהוביל את המחקר, התקנה זו במכשירי iPhone מערערת את תחושת הביטחון של המשתמשים בהקשר של "הגן הסגור" שמערכת iOS מתפארת בו.

איך התקפת הפישינג עובדת

קמפיין הפישינג התפשט באמצעות מספר מנגנונים שונים, כולל שיחות קוליות אוטומטיות, הודעות SMS ופרסום זדוני ברשתות החברתיות כמו פייסבוק ואינסטגרם. אחת מהטכניקות המתוחכמות כללה שיחות טלפון אוטומטיות המודיעות למשתמש על צורך בעדכון אפליקציית הבנק שלו, כשהמטרה היא לשלוח לו קישור זדוני להורדה. דרך נוספת להפצת הקישורים כללה הודעות SMS אקראיות, עם טקסטים המנסים לפתות את המשתמש ללחוץ על הקישור תוך שימוש בטכניקות הנדסה חברתית.

אופן פעולת קמפיין הפישינג באמצעות PWA | תמונה: ESET

בשלב ההתקפה, הקורבנות של קמפיין הפישינג למכשירי אנדרואיד נחשפו לאחת משתי אפשרויות: דף פישינג איכותי שמתחזה לאתר הורדת האפליקציה הרשמית של הבנק, או אתר שנראה בדיוק כמו האפליקציה עצמה. במכשירי iOS, המשתמשים התבקשו להתקין את האפליקציה דרך תהליך הדומה מאוד להורדה רשמית, אך למעשה מדובר היה באפליקציית אינטרנט מתקדמת (PWA) שמשתמשת בטכנולוגיית WebAPK – טכנולוגיה המאפשרת לדפדפן כרום לייצר ולהתקין קובץ שמדמה אפליקציה טבעית.

Ad image

ככה תימנעו ממתקפות פישינג

שימו לב להודעות ופעילויות חשודות בשירותים רגישים כמו בנקים או חשבונות גוגל ו-iCloud. כדי להמנע ממתקפות שכאלה, מומלץ לנהוג בכללי הבטיחות הנדרשים ברשת ובכך לצמצם את רמת הסיכון ככל האפשר.

שתפו כתבה