Esquema usa PWAs para roubar dados bancários
Os criminosos encontram-se a usar uma nova técnica para enganarem as vítimas a inserir dados sensíveis das suas entidades bancárias em falsas aplicações PWA, tanto em Android como iOS.
As PWA são aplicações que podem funcionar em diferentes sistemas, e tentam imitar as aplicações nativas do sistema, mas usam apenas o navegador para tal. Estas oferecem uma experiência praticamente nativa das apps, embora ainda tenham algumas limitações.
Usar este género de aplicações web pode ter algumas vantagens para os criminosos, já que evita alguns dos mecanismos de segurança que normalmente existem para apps regulares, além de poderem chegar a muitos mais utilizadores finais.
A empresa de segurança ESET revelou ter identificado várias campanhas recentes, onde os criminosos usam falsos sites criados em PWA para enganar as vítimas, levando-as a realizarem o login nas suas contas em falsos sites a pensarem que estão a aceder diretamente pela app oficial das suas entidades bancárias.
O esquema normalmente começa com uma chamada ou SMS, onde o link para instalar a PWA é fornecida à vítima. Esta faz-se passar por uma mensagem do banco, e sobre os pretextos variados, leva os utilizadores a pensarem que estão a instalar a app oficial da entidade bancária.
O falso site tenta ainda enganar os utilizadores levando-os a crer que estão a aceder a uma loja de aplicações, dependendo do sistema onde seja feito o acesso. No caso do Android, os utilizadores são direcionados para um site que aparenta ser uma página da Play Store.
Como as PWA surgem praticamente iguais com as apps regulares, alguns utilizadores podem ser enganados a instalarem as mesmas sobre diferentes pretextos. Além disso, possuem ainda a vantagem de contornar algumas das medidas de proteção da Apple e da Google para as apps regulares e dentro das suas lojas de aplicações.
Os utilizadores devem sempre ficar atentos a mensagens que sejam recebidas com links suspeitos, sobretudo de fontes desconhecidas. A maioria das entidades bancárias não levam os utilizadores para sites desconhecidos ou obrigam a instalar apps ou a aceder a páginas concretas.