Een recent ontdekte phishingaanval die zich richt op Android- en iOS-gebruikers laat zien hoe innovatief en gevaarlijk deze dreigingen kunnen zijn. ESET-analisten hebben een nieuwe phishingtechniek onderzocht die gebruikmaakt van Progressive Web Apps (PWA's), een methode die zowel voor gebruikers als bedrijven aanzienlijke risico's met zich meebrengt.
Wat maakt deze techniek zo gevaarlijk?
Traditionele phishing aanvallen vertrouwen op het lokken van slachtoffers naar valse websites, maar deze nieuwe aanpak gaat een stap verder door de gebruiker te verleiden een PWA te installeren. Deze applicaties lijken op het eerste gezicht legitiem, maar zijn in werkelijkheid ontworpen om gevoelige informatie te stelen, zoals inloggegevens voor internetbankieren. Wat deze methode bijzonder zorgwekkend maakt, is dat de installatie van de PWA gebeurt zonder dat de gebruiker expliciet toestemming hoeft te geven voor de installatie van apps van derden. Dit geldt zowel voor Android als iOS, waarbij vooral de "walled garden" van Apple wordt doorbroken. De ''walled garden'' is een gecontroleerd en afgesloten ecosysteem waarin de leverancier, in dit geval Apple, strikte controle uitoefent over welke software en apps kunnen worden geïnstalleerd op hun apparaten.
Hoe werkt deze aanval?
De phishing aanval begint met het verspreiden van kwaadaardige links via verschillende kanalen zoals geautomatiseerde telefoongesprekken, SMS-berichten en malafide advertenties op sociale media. Zodra een slachtoffer de link opent, wordt hij of zij geleid naar een overtuigende, maar valse versie van bijvoorbeeld de Google Play Store of Apple App Store. Hier wordt de gebruiker gevraagd om een "update" van hun bankapplicatie te installeren.
Op Android wordt deze installatie uitgevoerd als een WebAPK, een native app die door de browser wordt gegenereerd. Op iOS wordt de gebruiker gevraagd om de PWA toe te voegen aan het startscherm. Deze apps zijn visueel niet te onderscheiden van de originele bankapplicaties, wat de kans vergroot dat de gebruiker zijn of haar inloggegevens onbewust invoert in de phishing-app.
Wat kunnen bedrijven doen?
Bedrijven, vooral banken en financiële instellingen, moeten zich bewust zijn van deze nieuwe dreiging en hun klanten informeren over de risico's van het installeren van PWA's buiten de officiële app stores. Het is cruciaal om regelmatig te controleren op verdachte activiteiten en actief samen te werken met cybersecuritybedrijven om potentiële phishing campagnes vroegtijdig te identificeren en te neutraliseren.
Daarnaast is het belangrijk om bewustwordingscampagnes te voeren onder klanten, waarbij de nadruk ligt op het herkennen van verdachte installatieverzoeken en het belang van het downloaden van apps uitsluitend via officiële kanalen. Bedrijven kunnen ook overwegen om extra verificatiestappen in te bouwen wanneer klanten nieuwe apps installeren of inloggen vanaf een onbekend apparaat.
De opkomst van phishingaanvallen via Progressive Web Apps markeert een nieuwe fase in de strijd tegen cybercriminaliteit. Deze techniek maakt gebruik van geavanceerde technologieën om gebruikers te misleiden en hun persoonlijke informatie te stelen, zonder de gebruikelijke waarschuwingssignalen die traditioneel worden geassocieerd met phishing. Voor bedrijven is het van cruciaal belang om waakzaam te blijven en hun beveiligingsstrategieën voortdurend aan te passen aan deze evoluerende dreigingen.
Het is een race tegen de klok om gebruikers te beschermen tegen deze subtiele, maar zeer effectieve phishing aanvallen, en een gezamenlijke inspanning van zowel bedrijven als klanten is noodzakelijk om de schade te beperken. Voor een diepgaand inzicht in hoe deze nieuwe aanvalstechniek werkt en hoe je jouw organisatie kunt beschermen, raden we aan om de volledige whitepaper te lezen.