Новый фишинговый метод использует прогрессивные веб-приложения (PWA), чтобы имитировать окно браузера с нужным адресом сайта и таким образом угонять пароли.
Исследователь безопасности под ником mr.d0x опубликовал , описывающий новую методику, которая может быть использована для фишинга, а также, вероятно, и для другой вредоносной деятельности. Эта методика эксплуатирует так называемые прогрессивные веб-приложения (PWA, progressive web app).
В этом посте мы разберемся, что же это за приложения, почему они могут быть опасны, как именно злоумышленники могут использовать их в своих целях и как от этой угрозы защититься.
Общий принцип похож на устройство приложений, , но с важным отличием. Electron-приложения — это своего рода «бутерброд» из веб-сайта и браузера, в котором этот сайт открывается, — то есть в каждое Electron-приложение встроен свой собственный браузер. А PWA для отображения того же веб-сайта используют движок того браузера, который уже установлен у пользователя в системе.
Установить прогрессивное веб-приложение (если сайт в принципе предусматривает такую возможность) очень просто. Для этого достаточно нажать на неприметную кнопку в адресной строке браузера и подтвердить установку. Вот как это делается на примере прогрессивного веб-приложения сервиса Google Drive.
Прогрессивные веб-приложения устанавливаются буквально в два клика
После этого у вас в системе практически мгновенно появляется PWA, которое выглядит совсем как настоящее приложение, — с иконкой, собственным окном и всеми другими атрибутами полноценной программы. При этом понять по окну прогрессивного веб-приложения, что на самом деле это браузер, в котором открыт некий веб-сайт, не так-то просто.
PWA-приложение Google Drive выглядит совсем как настоящее «нативное» приложение
Ведь если адресной строки в окне нет, значит, злоумышленник может… нарисовать собственную, отобразив в строке тот адрес, который будет выгоден для фишинга! Например, вот такой:
С помощью прогрессивного веб-приложения можно очень убедительно имитировать любой сайт — например, страницу входа в учетную запись Microsoft
Также потенциальный злоумышленник может снабдить PWA-приложение какой-нибудь знакомой иконкой, чтобы дополнительно усыпить бдительность жертвы.
Единственное, что необходимо киберпреступнику для успеха, — каким-то образом убедить пользователя установить прогрессивное веб-приложение. Но и это не так уж сложно сделать, если использовать правильные слова и элементы интерфейса.
Важно и то, что в диалоге установки прогрессивного веб-приложения название этого приложения может быть каким угодно, а истинное его происхождение выдает лишь адрес сайта, который написан на второй строчке и меньше бросается в глаза.
В диалоге установки вредоносного PWA отображается то название, которое выгодно злоумышленнику
Процесс кражи пароля с использованием прогрессивного веб-приложения выглядит примерно так:
Как выглядит фишинг с использованием вредоносного PWA
Конечно, с тем же успехом можно убедить жертву установить и нативное приложение — но есть пара нюансов: в отличие от инсталляции полноценных приложений, установка PWA происходит гораздо быстрее и требует значительно меньше действий со стороны пользователя.
К тому же PWA проще в изготовлении — ведь по сути это всего лишь фишинговый сайт с небольшими добавками. Поэтому вредоносные PWA могут стать эффективным инструментом для злоумышленников.
Так что есть все шансы на то, что киберпреступники возьмут на вооружение и вредоносные PWA — а заодно придумают и какие-то новые сценарии применения этой методики вдобавок к фишингу.
Что можно сделать для защиты от данной угрозы?
Чтобы посмотреть или удалить установленные PWA-приложения в Google Chrome, введите в адресной строке chrome://apps
Исследователь безопасности под ником mr.d0x опубликовал , описывающий новую методику, которая может быть использована для фишинга, а также, вероятно, и для другой вредоносной деятельности. Эта методика эксплуатирует так называемые прогрессивные веб-приложения (PWA, progressive web app).
В этом посте мы разберемся, что же это за приложения, почему они могут быть опасны, как именно злоумышленники могут использовать их в своих целях и как от этой угрозы защититься.
Что такое прогрессивные веб-приложения
Прогрессивные веб-приложения — это один из способов разработки приложений с использованием веб-технологий. Грубо говоря, это веб-сайты, которые выглядят и работают совсем как нативные приложения, установленные у вас в операционной системе.Общий принцип похож на устройство приложений, , но с важным отличием. Electron-приложения — это своего рода «бутерброд» из веб-сайта и браузера, в котором этот сайт открывается, — то есть в каждое Electron-приложение встроен свой собственный браузер. А PWA для отображения того же веб-сайта используют движок того браузера, который уже установлен у пользователя в системе.
Установить прогрессивное веб-приложение (если сайт в принципе предусматривает такую возможность) очень просто. Для этого достаточно нажать на неприметную кнопку в адресной строке браузера и подтвердить установку. Вот как это делается на примере прогрессивного веб-приложения сервиса Google Drive.
Прогрессивные веб-приложения устанавливаются буквально в два клика
После этого у вас в системе практически мгновенно появляется PWA, которое выглядит совсем как настоящее приложение, — с иконкой, собственным окном и всеми другими атрибутами полноценной программы. При этом понять по окну прогрессивного веб-приложения, что на самом деле это браузер, в котором открыт некий веб-сайт, не так-то просто.
PWA-приложение Google Drive выглядит совсем как настоящее «нативное» приложение
Фишинг на основе прогрессивных веб-приложений
Одно из важных отличий прогрессивного приложения от того же самого сайта, открытого в браузере, вы можете увидеть на скриншоте выше: в окне PWA-приложения нет адресной строки. Собственно, на этой особенности и построен фишинговый метод, о котором идет речь в этом посте.Ведь если адресной строки в окне нет, значит, злоумышленник может… нарисовать собственную, отобразив в строке тот адрес, который будет выгоден для фишинга! Например, вот такой:
С помощью прогрессивного веб-приложения можно очень убедительно имитировать любой сайт — например, страницу входа в учетную запись Microsoft
Также потенциальный злоумышленник может снабдить PWA-приложение какой-нибудь знакомой иконкой, чтобы дополнительно усыпить бдительность жертвы.
Единственное, что необходимо киберпреступнику для успеха, — каким-то образом убедить пользователя установить прогрессивное веб-приложение. Но и это не так уж сложно сделать, если использовать правильные слова и элементы интерфейса.
Важно и то, что в диалоге установки прогрессивного веб-приложения название этого приложения может быть каким угодно, а истинное его происхождение выдает лишь адрес сайта, который написан на второй строчке и меньше бросается в глаза.
В диалоге установки вредоносного PWA отображается то название, которое выгодно злоумышленнику
Процесс кражи пароля с использованием прогрессивного веб-приложения выглядит примерно так:
- жертва открывает опасный сайт;
- этот сайт убеждает жертву установить PWA;
- практически мгновенно происходит установка и открывается окно PWA;
- далее уже в окне PWA открывается фишинговая страница с поддельной адресной строкой с «правильным» адресом;
- после того как жертва вводит логин и пароль в форму, они попадают в руки злоумышленников.
Как выглядит фишинг с использованием вредоносного PWA
Конечно, с тем же успехом можно убедить жертву установить и нативное приложение — но есть пара нюансов: в отличие от инсталляции полноценных приложений, установка PWA происходит гораздо быстрее и требует значительно меньше действий со стороны пользователя.
К тому же PWA проще в изготовлении — ведь по сути это всего лишь фишинговый сайт с небольшими добавками. Поэтому вредоносные PWA могут стать эффективным инструментом для злоумышленников.
Как защититься от фишинга с использованием PWA
Кстати, тот же mr.d0x ранее уже отметился изобретением фишинговой методики под названием — мы писали о ней пару лет назад. За прошедшее время стало известно о нескольких случаях использования этой методики злоумышленниками, причем не только , но также и .Так что есть все шансы на то, что киберпреступники возьмут на вооружение и вредоносные PWA — а заодно придумают и какие-то новые сценарии применения этой методики вдобавок к фишингу.
Что можно сделать для защиты от данной угрозы?
- С осторожностью относитесь к PWA-приложениям и не устанавливайте их с подозрительных сайтов.
- Время от времени проверяйте, какие прогрессивные веб-приложения установлены у вас в системе. Например, в Google Chrome для этого надо в адресной строке ввести chrome://apps — там же можно удалить установленные PWA.
Чтобы посмотреть или удалить установленные PWA-приложения в Google Chrome, введите в адресной строке chrome://apps
- Используйте надежное решение с защитой от фишинговых и мошеннических сайтов, которое вовремя предупредит вас об опасности.
