În zorii internetului, înșelătoriile de tip phishing erau un fenomen des întâlnit. Deoarece internetul era o noutate la acea vreme, mulți utilizatori nu erau familiarizați cu aceste practici frauduloase și au căzut victime. Situația s-a schimbat, dar și infractorii cibernetici și-au adaptat metodele de-a lungul timpului. Tehnica de bază rămâne similară: se încearcă simularea unei comunicări oficiale pentru a induce în eroare utilizatorii neavizați. Diferența constă în modalitățile și locurile în care se desfășoară aceste tentative. Exemple relevante sunt înșelătoria de tip phishing Google Docs și cea legată de Plex media VPN, care au avut loc la începutul acestui an. Recent, dispozitivele iOS ar putea deveni ținta unor astfel de escrocherii. O aplicație cu intenții malițioase poate trimite utilizatorilor o solicitare falsă de autentificare Apple, imposibil de distins de cea autentică. Dacă introduci parola, ai fost victima unui atac phishing.
Această problemă a fost identificată de specialistul în securitate Felix Krause, care propune și o soluție simplă pentru a verifica autenticitatea unei solicitări de conectare Apple.
Solicitare de autentificare Apple contrafăcută
Atunci când Apple îți solicită să introduci parola, ai la dispoziție doar două opțiuni: să introduci parola sau să apeși pe „Anulare” pentru a renunța la acțiune. Dacă suspectezi că o solicitare este falsă, apasă butonul „Home”. O solicitare falsă de conectare Apple va dispărea odată cu această acțiune. Dacă solicitarea este legitimă, ea va rămâne vizibilă pe ecran.
Implicarea Apple este necesară?
Krause evidențiază faptul că Apple este foarte eficientă în verificarea aplicațiilor trimise în App Store. Această rigurozitate a condus, în trecut, la perioade lungi de aprobare a aplicațiilor, pe care Apple a refuzat să le scurteze din motive de comoditate. Compania a reușit, în cele din urmă, să reducă aceste perioade, dar numai după ce s-a asigurat că poate verifica aplicațiile cu aceeași eficiență într-un interval de timp mai scurt. Apple se descurcă remarcabil de bine în ceea ce privește prevenirea pătrunderii aplicațiilor dăunătoare în App Store. Cu toate acestea, Krause propune o serie de îmbunătățiri pe care Apple le-ar putea implementa pentru a proteja utilizatorii de aceste înșelătorii. Lista completă poate fi consultată pe blogul personal al lui Krause, unde sunt oferite detalii despre modul în care o astfel de înșelătorie poate rămâne nedetectată.
Personal, consider foarte pertinentă sugestia lui Krause ca Apple să impună dezvoltatorilor să adauge o pictogramă pentru aplicațiile care solicită parola. Această măsură ar fi ușor de implementat, iar un indicator vizual este întotdeauna util în astfel de cazuri.
Din câte se cunoaște, nu există în prezent aplicații în App Store care să încerce să atace utilizatorii prin phishing în acest fel. Cu toate acestea, chiar dacă o astfel de aplicație ar exista, nu ar fi ușor să o suspectezi și nici să o identifici la o primă vedere. Practic, Krause oferă un avertisment pentru toată lumea.