Phishing progressivo: come le PWA vengono usate per rubare password

Una nuova tecnica di phishing usa le app Web progressive per imitare finestre del browser con indirizzi Web convincenti e rubare password.

Un ricercatore di sicurezza noto come mr.d0x ha pubblicato un post che descrive in dettaglio una nuova tecnica sfruttata per phishing e altre attività potenzialmente dannose. La tecnica si appoggia alle cosiddette app Web progressive (PWA, Progressive Web App). In questo post vediamo cosa sono queste applicazioni, perché possono essere pericolose, come possono essere sfruttate dagli aggressori e come proteggersi.

Cosa sono le app Web progressive?

Conosciute con l’acronimo PWA, sono applicazioni sviluppate utilizzando le tecnologie Web. In sostanza, sono siti Web che nell’aspetto e nelle funzioni sono identiche ad applicazioni native installate nel sistema operativo.

L’idea è pressapoco simile alle applicazioni basate sul framework Electron, con una differenza fondamentale. Le app Electron sono come un “sandwich” composto da un sito Web (il ripieno) e un browser (le fette di pane) dedicato alla gestione di quel sito; in altre parole, ogni applicazione Electron possiede un browser integrato. Al contrario, le PWA usano il motore del browser già installato nel sistema dell’utente per visualizzare il sito Web, come un sandwich senza pane.

Tutti i browser moderni supportano le PWA, e tra questi Google Chrome e i browser basati su Chromium (incluso Microsoft Edge, il browser fornito con Windows) offrono l’implementazione più completa.

L’installazione di una PWA (se il rispettivo sito Web la supporta) è molto semplice. È sufficiente fare clic su un pulsante poco appariscente nella barra degli indirizzi del browser e confermare l’installazione. Questo esempio mostra la procedura con la PWA Google Drive:

Come installare una PWA

L’installazione di una PWA richiede solo due clic

Successivamente, la PWA appare nel sistema quasi istantaneamente, con l’aspetto di una vera applicazione, con un’icona, una finestra propria e tutti gli attributi di un programma completo. Non è facile capire dalla finestra della PWA che in realtà si tratta di un browser che visualizza un sito Web.

L'aspetto di un'app Web progressiva (PWA)

La PWA Google Drive sembra una vera applicazione nativa

Phishing basato sulle PWA

Una differenza cruciale tra una PWA e lo stesso sito Web aperto in un browser è evidente nello screenshot qui sopra: la finestra della PWA non ha la barra degli indirizzi. Questa caratteristica costituisce la base del metodo di phishing discusso in questo post.

In mancanza di una barra degli indirizzi nella finestra, gli aggressori possono semplicemente disegnarne una per mostrare un URL a fini di phishing. Ad esempio, questa:

PWA che imita login.microsoft.com

Con una PWA è possibile imitare in modo convincente qualsiasi sito, ad esempio la pagina di accesso dell’account Microsoft. Fonte

Gli aggressori possono migliorare ulteriormente l’inganno dando alla PWA un’icona familiare.

L’unico ostacolo rimasto è convincere la vittima a installare la PWA. Il che può essere facilmente superato con un linguaggio persuasivo ed elementi di interfaccia progettati in modo intelligente.

È importante notare che durante la finestra di dialogo di installazione della PWA, il nome dell’app visualizzato può essere qualsiasi cosa aggradi all’aggressore. La vera origine è rivelata solo dall’indirizzo del sito Web nella seconda riga, che è meno evidente:

Finestra di dialogo di installazione di una PWA dannosa

La finestra di installazione della PWA dannosa mostra un nome riferito agli obiettivi dell’aggressore. Fonte

Il furto di una password tramite una PWA si svolge generalmente così:

  • La vittima apre un sito Web dannoso.
  • Il sito Web convince la vittima a installare la PWA.
  • L’installazione avviene quasi istantaneamente e si apre la finestra della PWA.
  • Nella finestra della PWA viene aperta una pagina di phishing con una barra degli indirizzi falsa che mostra un URL dall’aspetto legittimo.
  • La vittima inserisce le proprie credenziali di accesso nel modulo, consegnandole direttamente agli aggressori.
Dimostrazione di un furto di password tramite PWA

Phishing che usa una PWA dannosa. Fonte

Naturalmente, convincere la vittima a installare un’applicazione nativa è altrettanto semplice, ma con un paio di differenze. Le PWA si installano molto più velocemente e richiedono molta meno interazione dell’utente rispetto alle installazioni di app tradizionali.

Inoltre, lo sviluppo delle PWA è più semplice, poiché si tratta essenzialmente di siti Web di phishing con qualche aggiustamento. Questi fattori rendono le PWA dannose un potente strumento nelle mani dei criminali informatici.

Come proteggersi dal phishing con PWA?

Per inciso, mr.d0x era già noto come l’ideatore della tecnica di phishing del browser-nel-browser di cui abbiamo parlato un paio di anni fa. Da allora sono stati segnalati diversi casi di attacchi che usano questa tecnica non solo per rubare le password degli account, ma anche per diffondere ransomware.

Dato questo precedente, è altamente probabile che i criminali informatici trovino nuovi modi, oltre al semplice phishing, per sfruttare questa tecnica con le PWA dannose.

Cosa puoi fare per proteggerti da questa minaccia?

  • Presta attenzione alle PWA ed evita di installarle da siti Web sospetti.
  • Esamina periodicamente l’elenco delle PWA installate nel sistema. Ad esempio, in Google Chrome, digita <code>chrome://apps</code> nella barra degli indirizzi per visualizzare e gestire le PWA installate.
Come visualizzare e rimuovere le PWA installate in Google

Per visualizzare o rimuovere le PWA installate in Google Chrome, digita chrome://apps nella barra degli indirizzi

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi