- Penipu membuat aplikasi palsu untuk menipu pengguna Android dan iOS.
- Penipu menggunakan PWA untuk melakukan penipuan dan melewati keamanan siber.
- Pengguna harus berhati-hati untuk mencegah penipuan yang merugikan.
pibitek.biz -Petunjuk terbaru menunjukkan bahwa ada cara baru untuk melakukan penipuan di dunia digital, dan kali ini targetnya adalah pengguna Android dan iOS di beberapa negara. Teknik ini menggunakan Progressive Web Applications (PWA) untuk melakukan phishing (penipuan) dengan sangat efektif. Teknik ini bisa dijalankan tanpa perlu izin dari pengguna untuk menginstal aplikasi pihak ketiga. ESET, sebuah perusahaan keamanan siber, telah mendeteksi kampanye penipuan ini di beberapa negara, termasuk Republik Ceko, Hongaria, dan Georgia.
2 – Google Kerjasama dengan Reaktor Nuklir untuk AI 2 – Google Kerjasama dengan Reaktor Nuklir untuk AI
3 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan 3 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan
Mereka menemukan bahwa penipu menggunakan PWA untuk mengelabui pengguna agar menginstal aplikasi palsu yang terlihat seperti aplikasi bank yang asli. Saat ini, PWA sedang populer di kalangan pengembang aplikasi karena menawarkan pengalaman seperti aplikasi native. Namun, keamanan siber ini juga menunjukkan bahwa PWA dapat digunakan untuk melakukan penipuan. Dalam kasus ini, penipu menggunakan PWA untuk membuat aplikasi palsu yang terlihat seperti aplikasi bank yang asli. Pada perangkat iOS, penipu membuat PWA yang dapat dipasang di layar home screen pengguna.
Sebelum itu, mereka membuat manifest yang mengatur bagaimana PWA akan berperilaku. Dengan cara ini, PWA dapat berperilaku seperti aplikasi native. Sementara itu, pada perangkat Android, penipu menggunakan pop-up kustom di browser untuk menginstal PWA tanpa izin pengguna. Setelah itu, penipu membuat WebAPK, yang merupakan paket aplikasi Android yang dapat diinstal dari PWA. WebAPK ini dapat diinstal secara otomatis tanpa perlu izin pengguna. Menurut ESET, WebAPK yang diinstal dalam kampanye penipuan ini bahkan dapat membuat pengguna percaya bahwa aplikasi tersebut diinstal langsung dari Google Play Store.
Teknik ini pertama kali dipaparkan oleh CSIRT KNF, sebuah tim respon insiden keamanan siber di Polandia, pada Juli 2023. Pada November 2023, ESET mendeteksi kampanye penipuan yang targetnya adalah beberapa bank di Republik Ceko, Hongaria, dan Georgia. Penipu menggunakan tiga cara untuk mengirimkan tautan yang berisi aplikasi palsu. Semua tautan tersebut mengarah ke situs web phishing yang membuat pengguna percaya bahwa mereka harus menginstal aplikasi bank yang baru. ESET telah memberitahu bank-bank yang terkena dampak tentang kampanye penipuan ini.
Menurut mereka, data yang ditemukan di server C2 (Command and Control) penipu menunjukkan bahwa dua kelompok penipu yang berbeda terlibat dalam kampanye ini. Para pengguna Android dan iOS perlu berhati-hati saat ada permintaan untuk menginstal aplikasi atau mengakses situs web yang tidak jelas. Hal ini dapat membantu mencegah penipuan yang dapat merugikan mereka. Karena teknik ini sangat canggih, maka itu berarti keamanan saat ini tidak cukup untuk melindungi pengguna. Hal ini menunjukkan bahwa keamanan siber saat ini tidak cukup efektif dalam melindungi pengguna dari penipuan.
Maka dari itu, perlu ada peningkatan keamanan siber untuk melindungi pengguna dari penipuan. Hal ini sangat merugikan karena pengguna tidak hanya kehilangan uang, tetapi juga informasi pribadi mereka. Selain itu, penipuan ini juga dapat merusak reputasi bank dan instansi keuangan lainnya. Masih banyak lagi yang dapat dilakukan untuk melindungi pengguna dari penipuan ini. Melindungi pengguna dari penipuan harus menjadi prioritas bagi bank dan instansi keuangan lainnya. Peningkatan keamanan siber harus dilakukan secara terus-menerus untuk mencegah penipuan.
Selain itu, pengguna juga perlu menjaga kewaspadaan saat ada permintaan untuk menginstal aplikasi atau mengakses situs web yang tidak jelas. Dengan cara ini, kita dapat mencegah penipuan yang dapat merugikan pengguna.
