نشر باحث أمني معروف باسم mr.d0x منشورًا يشرح فيه بالتفصيل تقنية جديدة يمكن استخدامها في التصيّد الاحتيالي وربما أنشطة خبيثة أخرى. وتستغل هذه التقنية ما يسمى بتطبيقات الويب التقدمية (PWAs). ونناقش في هذا المقال ما هي هذه التطبيقات، ولماذا يمكن أن تكون خطرة، وكيف يمكن للمهاجمين استخدامها لأغراضهم الخاصة، وكيفية حماية نفسك من هذا التهديد.
ما هي تطبيقات الويب التقدمية؟
تطبيقات الويب التقدمية هي تطبيقات تم تطويرها باستخدام تقنيات الويب. وهي في الأساس مواقع ويب تبدو وتعمل تمامًا مثل التطبيقات الأصلية المثبتة على نظام التشغيل الخاص بك.
تشبه الفكرة العامة التطبيقات المبنية على إطار عمل Electron، مع اختلاف رئيسي واحد. تشبه تطبيقات Electron “شطيرة” لموقع ويب (الحشو) ومستعرض (الخبز) مخصص لتشغيل هذا الموقع؛ أي أن كل تطبيق Electron يحتوي على مستعرض مدمج. وفي المقابل، تستخدم تطبيقات الويب التقدمية محرك المستعرض المثبت بالفعل على نظام المستخدم لعرض موقع الويب نفسه – مثل شطيرة بدون خبز.
تدعم جميع المستعرضات الحديثة تطبيقات الويب التقدمية، مع Google Chrome والمستعرضات المعتمدة على Chromium (بما في ذلك مستعرض Microsoft Edge الذي يأتي مع Windows) الذي يوفر التنفيذ الأكثر شمولاً.
يتسم تثبيت تطبيق الويب التقدمي (إذا كان موقع الويب المعني يدعمه) بالبساطة الشديدة. وما عليك سوى النقر على زر غير واضح في شريط عنوان المستعرض وتأكيد التثبيت. وإليك كيفية فعل ذلك، باستخدام Google Drive PWA كمثال:
بعد ذلك، يظهر تطبيق الويب التقدمي على نظامك على الفور تقريبًا، ويبدو وكأنه تطبيق حقيقي – مع أيقونة ونافذة خاصة به وجميع السمات الأخرى لبرنامج متكامل. وليس من السهل معرفة أنه في الواقع مستعرض يعرض موقع ويب من نافذة تطبيق ويب تقدمي.
التصيد الاحتيالي المستند إلى تطبيق الويب التقدمي
يتضح أحد الاختلافات الجوهرية بين تطبيق الويب التقدمي وموقع الويب نفسه المفتوح في المستعرض في لقطة الشاشة أعلاه: تفتقر نافذة تطبيق الويب التقدمي إلى شريط عنوان. وتشكل هذه الميزة بالذات أساس طريقة التصيد الاحتيالي التي يتم مناقشتها في هذا المقال.
مع عدم وجود شريط عناوين في النافذة، يستطيع المهاجمون ببساطة رسم عناوينهم الخاصة بهم – عرض عنوان URL يخدم أهدافهم الاحتيالية التصيدية. على سبيل المثال، هذا العنوان:
يستطيع المهاجمون زيادة تعزيز الخداع من خلال إعطاء تطبيق الويب التقديم أيقونة مألوفة.
تكون العقبة الوحيدة المتبقية هي إقناع الضحية بتثبيت تطبيق الويب التقدمي. ومع ذلك، يمكن تحقيق ذلك بسهولة باستخدام لغة مقنعة وعناصر واجهة مصممة بذكاء.
من المهم ملاحظة أنه أثناء مربع حوار تثبيت تطبيق الويب التقدمي، يمكن أن يكون اسم التطبيق المعروض هو أي شيء يرغب فيه المهاجم. ويتم الكشف عن الأصل الحقيقي فقط من خلال عنوان موقع الويب في السطر الثاني، وهو أقل وضوحًا:
تتكشف عملية سرقة كلمة مرور باستخدام تطبيق الويب التقدمي بشكل عام على النحو التالي:
- يفتح الضحية موقع ويب ضارًا.
- يقنع موقع الويب الضحية بتثبيت تطبيق الويب التقدمي.
- يحدث التثبيت على الفور تقريبًا، وتفتح نافذة تطبيق الويب التقدمي.
- يتم فتح صفحة تصيد احتيالي مع شريط عنوان مزيف يعرض عنوان URL ذو مظهر شرعي في نافذة تطبيق الويب التقدمي.
- يُدخل الضحية بيانات اعتماد تسجيل الدخول الخاصة به في النموذج – ويسلمها مباشرة إلى المهاجمين.
بالطبع، يعتبر إقناع الضحية بتثبيت تطبيق محلي أمرًا بسيطًا تمامًا، لكن هناك بعض الفروق الدقيقة. يتم تثبيت تطبيقات الويب التقدمية (PWA) بشكل أسرع وتتطلب تفاعلاً أقل بكثير من المستخدم مقارنةً بعمليات تثبيت التطبيقات التقليدية.
بالإضافة إلى ذلك، يعد تطوير تطبيقات الويب التقدمية (PWA) أبسط، حيث تحتال في الأساس مواقع الويب مع تحسينات طفيفة. وتجعل هذه العوامل تطبيقات الويب التقدمية الضارة أداة قوية لدى مجرمي الإنترنت.
كيف تحمي نفسك من التصيد الاحتيالي لتطبيق الويب التقدمي
بالمناسبة، اكتسب الباحث mr.d0x نفسه تقديرًا لابتكار تقنية التصيد الاحتيالي المستعرض في المستعرض، التي كتبنا عنها قبل عامين. ومنذ ذلك الحين، تم الإبلاغ عن العديد من الحالات التي استخدم فيها مهاجمون هذه التقنية ليس فقط لسرقة كلمات مرور الحساب لكن أيضًا لنشر برامج طلب الفدية.
وبالنظر إلى هذه السابقة، فمن المحتمل جدًا أن يتبنى مجرمو الإنترنت تطبيقات الويب التقدمية الضارة ويبتكرون طرقًا جديدة لاستغلال هذه التقنية بما يتجاوز التصيد الاحتيالي.
ماذا يمكنك أن تفعل للحماية من هذا التهديد؟
- توخى الحذر عند مواجهة تطبيقات الويب التقدمية، وامتنع عن تثبيتها من مواقع الويب المشبوهة.
- راجع قائمة تطبيقات الويب التقدمية المثبتة على نظامك بشكل دوري. على سبيل المثال، في Google Chrome، اكتب
chrome://apps
في شريط العناوين لعرض وإدارة تطبيقات الويب التقدمية المُثبتة.
- استخدم حل أمان موثوقًا مع الحماية ضد مواقع التصيد الاحتيالي والاحتيالية، والذي سيحذرك على الفور من المخاطر المحتملة.