警惕!新型网络钓鱼攻击可隐形安装恶意应用
警惕!新型网络钓鱼攻击可隐形安装恶意应用
近日,网络安全公司ESET披露了一种罕见的新型网络钓鱼活动,该活动通过渐进式网络应用程序(PWA)和WebAPK技术,能够在用户不知情的情况下安装恶意应用,同时针对Android和iOS两大移动操作系统。这种攻击手法的出现,再次提醒我们网络钓鱼威胁正在不断升级。
新型网络钓鱼手法揭秘
这种新型网络钓鱼活动主要针对一家捷克银行的客户,其最大特点是无需用户主动安装即可在设备上植入恶意应用。攻击者通过以下步骤实施攻击:
多渠道传播:攻击者通过自动语音电话、短信和社交媒体广告等多种渠道发送钓鱼链接。其中,语音电话会伪装成银行应用更新提醒,诱导用户按键后发送钓鱼链接;短信则直接包含钓鱼链接;社交媒体广告则以"限时优惠"等名义诱使用户点击。
隐形安装:对于Android用户,攻击者利用WebAPK技术,通过Chrome浏览器将恶意PWA封装成本地应用进行安装。这种安装方式不会触发"来自未知来源"的安全警告,具有极高的隐蔽性。iOS用户则被诱导将恶意PWA添加到主屏幕,伪装成银行应用。
高度伪装:恶意PWA通过模仿目标银行的官方应用界面,几乎可以达到以假乱真的效果。即使是在Google Play商店中,这些恶意应用也能通过伪装混入其中,进一步降低用户的警惕性。
网络钓鱼攻击现状
根据Check Point Research发布的2024年第三季度品牌网络钓鱼报告,Microsoft已成为网络钓鱼攻击的首要目标,占比高达61%。其他经常被冒充的品牌包括Apple(12%)、谷歌(7%)等。值得注意的是,阿里巴巴首次进入前十榜单,显示出网络钓鱼攻击正在向更多领域扩散。
如何防范网络钓鱼攻击
面对日益复杂的网络钓鱼威胁,个人和企业需要采取多层次的防护措施:
技术防护措施
- 使用反网络钓鱼工具:安装如Netcraft Extension、Avira Browser Safety等反钓鱼插件,这些工具可以识别和阻止访问已知的钓鱼网站。
- 保持系统更新:定期更新操作系统、浏览器和安全软件,确保所有安全补丁都已安装。
- 部署网络流量检测设备:企业应部署网络流量检测设备,监控异常通信,及时发现潜在威胁。
个人行为层面
- 保持警惕:对所有未经请求的邮件、短信和电话保持高度警惕,特别是那些要求紧急行动或包含威胁性的语言。
- 验证信息来源:通过官方渠道验证任何可疑信息,不要轻易点击邮件或短信中的链接。
- 保护个人信息:不要在未经验证的网站或应用中输入敏感信息,如银行账号、密码等。
- 使用强密码和双因素认证:为所有重要账户设置强密码,并启用双因素认证增加安全性。
组织层面
- 加强员工培训:定期开展网络安全培训,提高员工的安全意识。
- 建立应急响应机制:制定网络钓鱼攻击应急预案,确保一旦发现能够快速响应。
- 限制公共Wi-Fi使用:避免在公共Wi-Fi环境下处理敏感信息。
网络钓鱼攻击手段不断翻新,从传统的邮件欺诈到现在的多渠道、跨平台攻击,其威胁程度日益加剧。个人和企业都需要时刻保持警惕,采取必要的防护措施,才能在数字化时代中安全地享受网络带来的便利。