Niemal doskonały phishing skierowany w użytkowników iUrządzeń
Sprzęt od Apple w większości uważamy za bardzo bezpieczny. Nie oznacza to jednak, że nie mamy się czego obawiać.
Felix Krause – twórca między innymi platformy fastlane – opublikował ostatnio na Twitterze sprytną próbę wyłudzenia hasła do naszego Apple ID. Próba ta wygląda niemal na niemożliwą do odróżnienia1:
📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitter.com/6N3lawTVGo
— Felix Krause (@KrauseFx) October 10, 2017
Jak zwraca uwagę w następnym tweecie, przez lata nauczyliśmy się, że jeśli pojawi się taki komunikat, to w zasadzie bez zastanowienia się logujemy.
🔓 iOS users have been trained for years to enter their iCloud passwords in alerts that appear at random times & random apps pic.twitter.com/QVFkYZ0GbD
— Felix Krause (@KrauseFx) October 10, 2017
Takie powiadomienia nie są trudne do odtworzenia, a poza tym nie muszą zawsze pokazywać naszego maila (zarówno w przypadku wersji oryginalnej, jak i sfałszowanej):
The most shocking thing about this, is that it only took me about 15 minutes to build a perfect replica of the original pic.twitter.com/iiMKLLHvA6
— Felix Krause (@KrauseFx) October 10, 2017
Zachodzi więc pytanie, jak ustrzec się przed nieumyślnym podaniem swojego hasła Apple ID? Wbrew pozorom jest to bardzo łatwe. Wystarczy tylko pamiętać, żeby:
- Nie wpisywać automatycznie tego hasła, gdy pojawi się taki monit.
- W chwili pojawienia się powiadomienia, spróbujcie najpierw wcisnąć przycisk Home. Wywoła to dwie możliwe reakcje:
- Wyłączy się zarówno okienko jak i aplikacja, w której byliśmy. Jeśli tak się stanie, to oznacza, że to właśnie była próba wyłudzenia hasła.
- Nic się nie stanie, czyli i okienko nie zniknie, ani aplikacja się nie wyłączy. To oznacza, że to prawdziwe powiadomienie od naszego systemu.
- Dla większego bezpieczeństwa można wyłączyć okienko i przejść do Ustawień i tam się zalogować swoim Apple ID. Felix podał tu przykład maila, co do którego nie jesteśmy pewni, czy jest prawdziwy. Zamiast klikać w zawarty w nim link do jakiejś strony lepiej jest do niej przejść ręcznie.
- Jeśli już wpisaliście hasło w okienko, ale w porę przypomnieliście sobie o zagrożeniu, to przed anulowaniem akcji nie zapomnijcie wyczyścić pola tekstowego. Wciśnięcie przycisku Anuluj/Cancel nadal daje wgląd we wpisany w polu tekst.
How can you protect yourself? It's trickier than you might expect pic.twitter.com/A0XFcCl0fY
— Felix Krause (@KrauseFx) October 10, 2017
Felix podał także kilka rozwiązań, które mogłyby przeciwdziałać takim próbom w przyszłości:
- Zamiast bezpośrednio prosić o hasło, Apple powinno przenosić użytkownika do aplikacji Ustawienia.
- Apple powinno przestać prosić użytkownika o podawanie hasła w nieokreślonych okolicznościach w losowo wybranym czasie.
- Apple mogłoby wymusić na programistach, by w oknach wywoływanych przez aplikacje musiała się pojawiać ikona danej aplikacji.
The problem is actually easy to fix: instead of asking for the password directly, iOS should tell the user to open the settings app pic.twitter.com/w7R8tqGXIc
— Felix Krause (@KrauseFx) October 10, 2017
Po raz kolejny widzimy, że nie można być zbyt ufnym wobec technologii. Nadal najsilniejszym lub też najsłabszym ogniwem okazujemy się my – użytkownicy. Musimy być świadomi zagrożeń!
- Wprawne oko zauważy jednak pewne różnice w postawionych cudzysłowach, choć nie wiadomo, czy to ograniczenie, czy błąd oszusta. ↩
Komentarze: 1
Chciałoby się dopisać: “a jeśli już klikniecie na OK to wyślijcie maila do twórcy złośliwego oprogramowania, niech Wam zwrócą hasło…”