Una nuova tecnica di phishing sta emergendo, sfruttando le Progressive Web App (PWA) per rubare le credenziali di accesso attraverso siti web fasulli. Il phishing che utilizza le PWA conferma e, allo stesso tempo, smentisce una recente tendenza: negli ultimi mesi, si è osservata una diminuzione del phishing tradizionale ma un aumento dei siti web falsi. Questa tecnica non solo ribadisce l’aumento dei siti fraudolenti come strumento per bypassare le difese cibernetiche, ma rilancia anche il tema del phishing in una modalità ancora più sofisticata.
Le Progressive Web App sono applicazioni sviluppate con linguaggi comuni come HTML o JavaScript, installabili sui dispositivi e in grado di imitare in tutto e per tutto le applicazioni native, comprese le notifiche. Queste app permettono agli sviluppatori di creare piattaforme con interazioni simili alle app mobile native, garantendo immediatezza, fruibilità e velocità di navigazione. Browser come Google Chrome e quelli basati su Chromium, incluso Microsoft Edge, supportano le PWA. Sono quindi uno strumento legittimo che unisce pagine web e applicazioni mobili, ma possono anche essere sfruttate dai cyber criminali per attacchi di phishing, che tradizionalmente avvengono tramite e-mail o siti web contraffatti.
Riconoscere le PWA fraudolente non è impossibile, ma richiede attenzione e un occhio allenato. Salvatore Lombardo, esperto ICT e membro dell’Associazione Italiana per la Sicurezza Informatica (Clusit), spiega: “Riconoscere il phishing via PWA può essere più complicato, ma ci sono sempre alcuni segnali da sapere interpretare come allarme: richieste di installazione sospette, presenza di errori grammaticali o ortografici nei contenuti, un design con grafica di bassa qualità, richieste di informazioni personali con urgenza”.
La prevenzione, prima ancora di essere tecnologica, è culturale. Essere vigili può evitare molte trappole. Lombardo aggiunge: “Adottando alcune precauzioni, si può ridurre significativamente il rischio di cadere vittima di phishing via PWA. Tra queste la verifica dell’URL del sito web prima di inserire qualsiasi informazione personale, evitare installazioni sospette, mantenere sempre aggiornati antivirus e, con le ultime patch di sicurezza, sistema operativo e browser web, diffidare delle richieste urgenti”.
https://www.cybersecurity360.it/news/phishing-progressive-web-app-pwa/