Niemal doskonały phishing skierowany w użytkowników iUrządzeń

Maciej Skrzypczak

1

Dodane: 7 lat temu

Sprzęt od Apple w większości uważamy za bardzo bezpieczny. Nie oznacza to jednak, że nie mamy się czego obawiać.

Felix Krause – twórca między innymi platformy fastlane – opublikował ostatnio na Twitterze sprytną próbę wyłudzenia hasła do naszego Apple ID. Próba ta wygląda niemal na niemożliwą do odróżnienia¹:

📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitter.com/6N3lawTVGo

— Felix Krause (@KrauseFx) October 10, 2017

Jak zwraca uwagę w następnym tweecie, przez lata nauczyliśmy się, że jeśli pojawi się taki komunikat, to w zasadzie bez zastanowienia się logujemy.

🔓 iOS users have been trained for years to enter their iCloud passwords in alerts that appear at random times & random apps pic.twitter.com/QVFkYZ0GbD

— Felix Krause (@KrauseFx) October 10, 2017

Takie powiadomienia nie są trudne do odtworzenia, a poza tym nie muszą zawsze pokazywać naszego maila (zarówno w przypadku wersji oryginalnej, jak i sfałszowanej):

The most shocking thing about this, is that it only took me about 15 minutes to build a perfect replica of the original pic.twitter.com/iiMKLLHvA6

— Felix Krause (@KrauseFx) October 10, 2017

Zachodzi więc pytanie, jak ustrzec się przed nieumyślnym podaniem swojego hasła Apple ID? Wbrew pozorom jest to bardzo łatwe. Wystarczy tylko pamiętać, żeby:

1. Nie wpisywać automatycznie tego hasła, gdy pojawi się taki monit.
2. W chwili pojawienia się powiadomienia, spróbujcie najpierw wcisnąć przycisk Home. Wywoła to dwie możliwe reakcje:
   1. Wyłączy się zarówno okienko jak i aplikacja, w której byliśmy. Jeśli tak się stanie, to oznacza, że to właśnie była próba wyłudzenia hasła.
   2. Nic się nie stanie, czyli i okienko nie zniknie, ani aplikacja się nie wyłączy. To oznacza, że to prawdziwe powiadomienie od naszego systemu.
3. Dla większego bezpieczeństwa można wyłączyć okienko i przejść do Ustawień i tam się zalogować swoim Apple ID. Felix podał tu przykład maila, co do którego nie jesteśmy pewni, czy jest prawdziwy. Zamiast klikać w zawarty w nim link do jakiejś strony lepiej jest do niej przejść ręcznie.
4. Jeśli już wpisaliście hasło w okienko, ale w porę przypomnieliście sobie o zagrożeniu, to przed anulowaniem akcji nie zapomnijcie wyczyścić pola tekstowego. Wciśnięcie przycisku Anuluj/Cancel nadal daje wgląd we wpisany w polu tekst.

How can you protect yourself? It's trickier than you might expect pic.twitter.com/A0XFcCl0fY

— Felix Krause (@KrauseFx) October 10, 2017

Felix podał także kilka rozwiązań, które mogłyby przeciwdziałać takim próbom w przyszłości:

1. Zamiast bezpośrednio prosić o hasło, Apple powinno przenosić użytkownika do aplikacji Ustawienia.
2. Apple powinno przestać prosić użytkownika o podawanie hasła w nieokreślonych okolicznościach w losowo wybranym czasie.
3. Apple mogłoby wymusić na programistach, by w oknach wywoływanych przez aplikacje musiała się pojawiać ikona danej aplikacji.

The problem is actually easy to fix: instead of asking for the password directly, iOS should tell the user to open the settings app pic.twitter.com/w7R8tqGXIc

— Felix Krause (@KrauseFx) October 10, 2017

Po raz kolejny widzimy, że nie można być zbyt ufnym wobec technologii. Nadal najsilniejszym lub też najsłabszym ogniwem okazujemy się my – użytkownicy. Musimy być świadomi zagrożeń!

Maciej Skrzypczak

Użytkownik sprzętu z nadgryzionym jabłkiem, grafik komputerowy, Redaktor iMagazine.pl. Mastodon: mcskrzypczak@c.im