La prima vârstă a internetului, înșelătoriile de tip phishing erau frecvente. Pentru că internetul era nou la acea vreme, nu mulți oameni știau despre ele și au căzut victime. S-a schimbat acum, dar și escrocii au evoluat cu timpul. Tehnica este aceeași; încercați să arătați oficial și păcăliți utilizatorul nebănuit. Diferența este cum și unde încearcă să te aducă. Luați exemplul înșelătoriei de phishing Google Docs și al înșelătoriei de phishing Plex media VPN care a avut loc la începutul acestui an. The Cea mai recentă victimă a acestor tipuri de escrocherii ar putea fi un dispozitiv iOS. O aplicație rău intenționată poate alege să trimită utilizatorilor o solicitare de conectare Apple falsă, care nu se poate distinge de cea reală. Dacă introduceți parola, ați fost phishing cu succes.
Acest problema a fost identificată de cercetătorul de securitate Felix Krause care are, de asemenea, o soluție destul de simplă pe care o puteți folosi pentru a verifica dacă vedeți un prompt de conectare Apple fals sau unul legitim.
Solicitare de conectare Apple fals
Când Apple vă solicită să introduceți parola, aveți doar două opțiuni; introduceți parola sau atingeți Anulare pentru a anula o acțiune. Dacă bănuiți că o solicitare pe care o vedeți este falsă, atingeți/apăsați butonul Acasă. O solicitare falsă de conectare Apple va dispărea când atingeți butonul de pornire. Dacă solicitarea este reală, va rămâne pe ecran.
Apple trebuie să intervină?
Krause subliniază că Apple se pricepe foarte bine la verificarea aplicațiilor care sunt trimise în App Store. Este atât de sârguincios încât în urmă cu câțiva ani timpul de aprobare pentru o aplicație a fost destul de lung și Apple a refuzat să o scurteze din motive de comoditate. Compania l-a redus în cele din urmă, dar nu până când a știut că poate verifica în mod fiabil aplicațiile în acel interval de timp mai scurt. Se descurcă destul de bine în ceea ce privește menținerea aplicațiilor rău intenționate din App Store. Acestea fiind spuse, Krause are o listă de îmbunătățiri pe care Apple le poate face și aplica pentru a proteja utilizatorii de aceste escrocherii. Puteți citi lista completă pe blogul personal al lui Krause, unde detalii despre cum o astfel de înșelătorie poate rămâne nedetectată.
Din partea mea, mi se pare destul de rezonabilă sugestia lui Krause ca Apple să oblige dezvoltatorii să adauge o pictogramă pentru aplicație care vă cere să introduceți parola. Este ușor de implementat și un indicator vizual este întotdeauna mai bun în astfel de cazuri.
Din câte știm, nu există în prezent nicio aplicație în App Store care să încerce să phishing astfel utilizatorii, dar dacă ar exista, nu l-ai bănui, cu atât mai puțin să o poți identifica cu o privire superficială. Acesta este practic Krause care dă tuturor un avertisment.