روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین امنیتی معروف به mr.d0x پستی منتشر کردند که در آن تکنیک جدیدی شرح داده شده که می‌تواند برای فیشینگ و احتمالاً سایر فعالیت‌های مخرب استفاده شود. این تکنیک اپ‌های وبی پیش‌رونده یا همان PWAها را اکسپلویت می‌کند. در این مقاله، به سوالاتی چون این اپ‌ها چه هستند، چرا می‌توانند خطرناک باشند، چطور مهاجمین می‌توانند از آن‌ها برای رسیدن به مقاصد خود استفاده کنند و چطور می‌شود از خود در برابر این تهدید محافظت کرد پرداخته‌ایم. با ما همراه بمانید.

اپ‌های وبی پیش‌رونده چه هستند؟

PWAها اپ‌هایی هستند توسعه‌داده‌شده توسط فناوری‌های وب. در اصل، اینها وبسایت‌هایی به شکل اپ‌های بومی نصب‌شده روی سیستم عامل شما هستند و همان کارایی را نیز دارند. ایده کلی شبیه به اپ‌هایی است که روی فریم‌ورک Electron با یک تفاوت کلیدی ساخته می‌شوند. اپ‌های الکترون مانند ساندویچِ وبسایت و مرورگر هستند که اختصاص داده شده‌اند به اجرای این سایت؛ هر اپ الکترون یک مرورگر درون‌سازه‌ای دارد. در مقایسه، PWAها از موتور مرورگر که از قبل روی سیستم کاربری برای نمایش همان وبسایت نصب شده استفاده می‌کند؛ مانند ساندویچی بدون نان. همه مرورگرهای مدرن از PWA پشتیبانی می‌کنند؛ مرورگرهای مبتنی بر گوگل کروم و کرومیوم شامل مرورگر مایکروسافت اج که با ویندوز می‌آید جامع‌ترین پیاده‌سازی را ارائه می‌دهند. نصب PWA (اگر وبسایت مربوطه آن را پشتیبانی کند) بسیار ساده است. تنها کافیست روی دکمه نامحسوس در نوار آدرس مرورگر کلیک کنید و نصب را تأیید. در ادامه نحوه انجام دادن این روند را آورده‌ایم و به عنوان مثال از Google Drive PWA استفاده کردیم:

سپس، PWA تقریباً بلافاصله روی سیستم شما ظاهر می‌شود و ظاهری درست مانند اپ واقعی دارد با یک آیکون که پنجره خاص خودش را دارد و همه ویژگی‌های یک برنامه تمام‌عیار را دارد. نمی‌شود به این راحتی‌ها فرق آن را با پنجره PWA که در واقع مرورگری است که وبسایت را نمایش می‌دهد تشخیص داد.

فیشینگ مبتنی بر PWA

یکی از تفاوت‌های مهم بین PWA و همان وبسایت باز‌شده در مرورگر این است که: پنجره PWA نوار آدرس ندارد. این قابلیت اساس متود فیشینگ مذکور را تشکیل می‌دهد. بدون وجود نوار آدرس در پنجره، مهاجمین به سادگی می‌توانند آدرس خود را ترسیم کنند - نشانی اینترنتی را نمایش دهند که اهداف فیشینگ آنها را برآورده می‌کند. مهاجمین می‌توانند با دادن یک آیکون آشنا به PWA فریب را بیشتر کنند. تنها مانع باقی‌مانده متقاعد کردن قربانی برای نصب PWA است. با این حال، این را می‌توان به راحتی با زبان متقاعدکننده و عناصر رابط طراحی شده هوشمندانه به دست آورد. توجه به این نکته مهم است که در طول گفتگوی نصب PWA، نام برنامه نمایش داده‌شده می‌تواند هر چیزی که مهاجم می‌خواهد باشد.

فرآیند سرقت رمز عبور با استفاده از PWA به طور کلی به صورت زیر آشکار می‌شود:

•         قربانی یک وب‌سایت مخرب باز می‌کند.
•         وبسایت قربانی را متقاعد می‌کند که PWA را نصب کند.
•         نصب تقریباً بلافاصله انجام و پنجره PWA باز می‌شود.
•         یک صفحه فیشینگ با یک نوار آدرس جعلی که یک URL با ظاهر قانونی را نشان می‌دهد در پنجره PWA باز می‌شود.
•         قربانی اطلاعات لاگین خود را در فرم وارد می‌کند - آنها را مستقیماً به مهاجمین می‌دهد.

البته متقاعدکردن قربانی برای نصب اپی بومی بسیار ساده است اما چندریزه‌کاری وجود دارد. PWAها در مقایسه با نصب‌های سنتی اپ به طور قابل‌ملاحظه‌ای سریعتر نصب می‌کنند و به تعامل کاربر نسبتاً کمتری نیاز دارد. افزون بر این، توسعه PWAها ساده‌تر است زیرا آن‌ها در اصل وبسایت‌های فیشینگی هستند با پیشرفت‌های جزئی. این عوامل هستند که از PWA مخرب ابزار قوی‌ای برای مجرمان سایبری می‌سازند.

راهکارهای امنیتی

از قضا، همان mr.d0x قبلاً برای ابداع تکنیک فیشینگ «مرورگر در مرورگر[1]» که چند سال پیش در مورد آن نوشتیم به رسمیت شناخته شد. از آن زمان تاکنون چندین مورد گزارش شده که مهاجمین از این تکنیک نه تنها برای سرقت رمزهای عبور حساب، بلکه برای انتشار باج افزار استفاده می‌کنند.  با توجه به این سابقه، بسیار محتمل است که مجرمان سایبری از PWA های مخرب استفاده و راه‌های جدیدی برای سوء استفاده از این تکنیک فراتر از فیشینگ ابداع کنند.

برای محافظت در برابر این تهدید چه کاری می‌توانید انجام دهید؟

هنگام مواجهه با PWA ها احتیاط نموده و از نصب آنها در وبسایت‌های مشکوک خودداری کنید.

•         به طور دوره‌ای لیست PWAهای نصب‌شده بر روی سیستم خود را مرور کنید. به عنوان مثال، در Google Chrome، chrome://apps را در نوار آدرس تایپ نموده تا PWA های نصب شده را مشاهده و مدیریت کنید.
•         از راهکار امنیتی مطمئنی استفاده کنید که قادر به محافظت در برابر سایت‌های فیشینگ و کلاهبرداری باشد و بلافاصله شما را در جریان خطرات احتمالی قرار دهد.

[1] browser-in-the-browser

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.