Les pirates utilisent de fausses applications bancaires sur les iPhones pour voler vos données
Le chercheur en sécurité ESET a publié un rapport sur une nouvelle tentative d'hameçonnage par des pirates pour obtenir vos informations de connexion à votre banque. L'attaque implique une méthode utilisée pour contourner l'App Store d'Apple et ses méthodes de contrôle d'accès et de sécurité.
La campagne de phishing consiste en un appel téléphonique qu'un utilisateur reçoit, censé provenir d'une banque, l'informant que l'application bancaire qu'il utilise n'est plus à jour. Après avoir été invité à sélectionner une option sur une fenêtre contextuelle qui apparaît, un lien de phishing est envoyé par SMS. ESET a observé des écrans d'installation imitant le Google Play Store mais pas l'Apple App Store et ESET n'a pas pu confirmer que l'escroquerie impliquait de faux écrans d'installation de l'Apple App Store, bien que les utilisateurs d'iOS soient ciblés par cette attaque. Un message X montre à quoi ressemblent les écrans.
L'application installée est une application Web progressive (PWA), qui est essentiellement un site Web présenté comme une application sur votre téléphone. (L'application Web est conçue pour ressembler à l'application de la banque, et lorsque l'utilisateur saisit son nom d'utilisateur, son mot de passe et d'autres informations, celles-ci sont envoyées à un serveur géré par l'attaquant.
Comment se protéger d'une attaque
Les applications web progressives ne sont pas uniques en leur genre et sont généralement inoffensives. En fait, avant qu'Apple n'ouvre l'iPhone aux applications tierces et ne crée l'App Store, Apple encourageait les développeurs à créer des applications web. Même dans l'App Store d'aujourd'hui, de nombreuses applications sont essentiellement des applications web reconditionnées, en particulier les applications destinées aux institutions financières et aux détaillants.
Cette attaque a été observée par les clients d'une banque en Tchécoslovaquie et ESET rapporte que l'attaque est apparue dans les pays de Géorgie, de Hongrie et de Pologne. ESET n'a pas mentionné l'attaque survenue aux États-Unis ou au Royaume-Uni.
Si vous êtes un utilisateur d'iPhone et que vous utilisez une application bancaire, le moyen le plus sûr d'obtenir des mises à jour est de passer par l'App Store. L'App Store affiche les notifications de mise à jour dans le profil de votre compte, où vous pouvez installer les mises à jour. Vous pouvez également consulter l'entrée de l'application dans l'App Store. N'ouvrez pas les liens que vous recevez par SMS. En savoir plus sur les logiciels malveillants et les virus sur l'iPhone. Nous vous proposons également des conseils pour protéger votre téléphone contre les pirates informatiques.