Újfajta adathalász módszer ütötte fel a fejét a közelmúltban, amely Magyarországon az OTP Bank ügyfeleit célozza. Az utóbbi időben rendesen megszaporodtak a piacvezető pénzintézet nevében intézett csalások, ezért az OTP egy olyan új funkciót vezetett be, amely lehetővé teszi, hogy a hívás fogadása közben a MobilBankban ellenőrizzük a hívás valódiságát, ezzel meggyőződve arról, hogy tényleg az OTP munkatársával beszélgetünk-e.
A mostani csalások viszont teljesen más jellegűek. Ezek a progresszív webalkalmazásokra (PWA) épülnek, amelyek az androidos és iOS-es készülékeken is elérhetőek. Amennyiben egy weboldalnak nincs hivatalos mobilalkalmazása, PWA-ként könnyedén kitűzhető a böngészőből a telefon kezdőképernyőjére, amivel lényegében olyan, mintha egy mobilapp lenne.
A weboldalak így értesítést küldhetnek, hozzáférhetnek az eszköz hardveréhez, de még a háttérben történő szinkronizációra is képesek. Az egyetlen gond, hogy a rosszindulatú felek is felfigyeltek a progresszív webalkalmazásokban rejlő lehetőségekre, és a mostani adathalász akcióban sajnos a magyar felhasználók is érintettek.
Az ESET kiberbiztonsági kutatói felhívták a figyelmet arra, hogy az adathalászok a PWA-k segítségével megkerülik az alkalmazástelepítésekre vonatkozó korlátozásokat és a rosszindulatú tevékenység észlelését, így kockázatos jogosultságokat szereznek a készüléken. Ehhez még a felhasználó beleegyezésére sincs szükség, ugyanis nem fog felugrani egy ablak, amelyben engedélyt kérne ezekre az app.
Az első ilyen jellegű támadásra 2023 júliusában, Lengyelországban lettek figyelmesek a kutatók, majd nem sokkal később Csehországban is hasonló adathalász eseteket jelentettek. Nagyon úgy tűnik, hogy jelen pillanatban két, egymástól független adathalász kampány épül a progresszív webalkalmazásokra: egy Grúziában, egy pedig Magyarországon zajlik.
Hazánkban elsősorban az OTP ügyfelei érintettek, akiket automatizált hívásokkal, üzenetekkel és kétes Facebook-hirdetésekkel környékeznek meg a kiberbűnözők. Az első két esetben az ügyfeleket arról tájékoztatják, hogy banki alkalmazásuk elavult, ezért biztonsági okokból szükséges egy új applikáció telepítése. Ehhez kapcsolódóan küldenek egy hivatkozást, amit megnyitva feltelepül a PWA-app a mobilra.
A csaló hirdetések a bank hivatalos arculati elemeit használva igyekeznek megtéveszteni az ügyfeleket. Korlátozott ideig elérhető ajánlatokkal provokálják ki egy bizonyos "kritikus alkalmazásfrissítés" telepítését, aminek szintén egy rosszindulatú, hivatalos banki alkalmazásnak kinéző PWA lesz a vége.
Tekintve, hogy egy ilyen progresszív webalkalmazás javarészt a böngészőre épül, hozzáfér mindenhez, amihez az adott kereső is. Ezek közé tartozik a kamera, a mikrofon, illetve a felhasználó tartózkodási helye is. Az app megnyitása során a legtöbb esetben egy bejelentkező felület fogadja a megtévesztett felhasználókat, ahol aztán az érzékeny adatok pillanatok alatt a csalók kezében köthetnek ki.
Az ESET kutatóinak jelentését ismertető Bleeping Computer felkereste az Apple-t és a Google-t is azzal kapcsolatban, hogy terveznek-e szigorítani a PWA-k letöltésének szabályain, de egyelőre nem érkezett válasz.
Ami pedig továbbra is érvényes:
Közelítsünk gyanakvóan az ismeretlen telefonálók felé, a gyanús alkalmazásokat és linkeket pedig nagy ívben kerüljük. Ha bankszámlánk vagy bankkártyánk adatainak megadására kérnek minket, győződjünk meg arról, hogy kinek és minek szolgáltatjuk ki az érzékeny adatokat, ugyanis az esetek nagy többségében rendre adathalászok állhatnak az ilyen jellegű akciók mögött. Hívjuk fel hozzátartozóink és ismerőseink figyelmét is, hiszen minél többen ismerik a csalók módszereit, annál kevésbé tudnak új áldozatokat becserkészni a bűnözők.