WebAPKを使用したフィッシング詐欺
こんばんわ!keitaです。
日々どういった勉強するといいのだろうと勉強方法を模索している中で、セキュリティの第一任者の方から「セキュリティのニュースは生きた教材」と教えていただいたことがありました。
なので、一日一記事ニュースを読んでまとめていけば、セキュリティに関する知見が広がるのではないかと思いました。ので、読んだ内容を自分で解釈し、アウトプットしていこうと思います。
今回選んだニュースはこちら↓
それではCheck it out!!
どんなニュース?
AndroidのWebAPKテクノロジーという技術を使用し、WEBサイトベースでなくアプリケーションベースのフィッシング詐欺が発生しました。これにより、気密性の高い個人情報が盗まれる被害が考えられるみたいです。
読んでいてわからなかった単語
WebAPKテクノロジー
ネイティブアプリケーションとしてAndroidデバイスにインストールできるWebアプリケーションの作成を可能にするテクノロジー
プログレッシブ ウェブ アプリ(PWA)
WebサイトやWebアプリをネイティブアプリのようにインストールする技術
侵害インジケーター(IoC)
サイバー攻撃を受けた時に、その痕跡となる様々な指標
バンキングマルウェア
オンラインバンキングやクレジットカード会社のサイトへの通信に介在して、ログイン情報の窃取や不正送金を行うことを目的としたマルウェア
攻撃手法は?
まず、サイトで紹介されている図をお借りします!
この流れでいくと
①詐欺師→ターゲットユーザ
銀行員になりすまし、ターゲットユーザにSMSで緊急のアプリ更新を促す
②ターゲットユーザ
SMSのリンクからアプリケーションをインストール
③ターゲットユーザ→詐欺師
ターゲットユーザはログイン情報を入力し、それを詐欺師が取得!
という流れですね。。
通常のフィッシング詐欺の流れではあるのですが、今回はアプリケーションをインストールさせて行っているのが従来と大きく異なるみたいです。
対応策は?
アプリケーションの偽物チェックとしては、チェックサムが結構有効なのですが、WebAPKアプリケーションはデバイスごとに異なるチェックサムを生成していることからその確認方法は困難であるらしいです。。
そこから一番の対策は、とにかく怪しいサイトには触らないというのが考えられるのではないでしょうか。。
リンクからのリダイレクトはすべて疑うという姿勢が大事かもです!
まとめ
とこんな感じでまとめてみました!
ネイティブアプリのフィッシングだと、URLからの判断等の怪しい箇所の選別が限られてきてしまうので、結構脅威的なニュースだなと個人的に感じました!
結構勉強になりました。
毎日更新は正直厳しいですが、可能な限り続けていきたいです。。
ここまで読んでいただきありがとうございました!