我相信大多數人都會立刻在腦海裡回憶自己的 Apple ID 賬號和密碼,記起來之後,把相應的內容填寫進去。但,仔細想想,我們怎麼確保這個彈窗真的是 iOS 系統呼叫的而不是第三方開發者釣魚呢?
澳大利亞開發者 Felix Krause 也想到了這個問題,他在 他的部落格文章 中,討論了開發者故意在自己的應用中設計釣魚彈窗來盜取使用者 Apple ID 與密碼的可能性,這種自行設計的彈窗可以做到在顯示上與 iOS 賬號密碼輸入彈窗完全相同。
那麼,透過這種釣魚手段來「光明正大」地盜取使用者 Apple ID 的賬號與密碼,是否能夠實現呢?答案是有可能的。
首先,不管是哪一代 iOS 系統,都曾向用戶展示過這樣的賬號密碼彈窗,比如在 iOS 升級時、Game Center 登入時、應用內付費購買時等等。iOS 使用者已經理所當然地養成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習慣。因此利用釣魚彈窗來盜取 Apple ID 賬號密碼,大多數使用者可能都會乖乖配合。
此外,這類彈窗採用的是 iOS 統一設計規範中的 UIKit - UIAlertController。一直以來,Apple 都鼓勵開發者呼叫 UIKit 來使 iOS 應用看起來有統一的設計,而開發者只需要將 UIAlertController 的 title、message 和 Action 稍作修改,就能實現真假難辨的釣魚彈窗。這是一段非常簡單的程式碼,只要是位開發者都知道怎麼寫,所以問題就在於開發者有沒有做壞事的心思。
你想問開發者怎麼會知道我的 Apple ID 郵箱呢,再設計一個彈窗也不是什麼難事。你以為你輸入的內容無人知曉,實際上應用已經悄悄記錄了下來。
今天下午3:01,蘋果正式開放iPhone 8/8 Plus預售。藍妹思考了很久,想明白了一個道理:
iPhone X價格逆天
iPhone X和iPhone 8並沒有什麼錯,
就是貴
買不起的藍妹也沒什麼錯,
就是窮
“買不起”就是最好的理由
但是買不起的我還收到這樣的簡訊,那就一定不對了!!!
騷擾簡訊也緊跟熱點?
騙子們還真是緊跟熱點啊!還好藍妹道行深沒上當。iOS使用者就有福啦:只要等iOS 11上線,就能體驗騷擾不再有的全新體驗了。
什麼!你居然還不知道?
繼去年蘋果的iOS 10開放了來電識別介面,今年的iOS 11開放二維碼掃描、垃圾簡訊攔截等掃描介面,支援藍盾安全衛士等第三方安全軟體攔截騷擾簡訊,全面提升攔截效能。
iOS 11即將上線
媽媽再也不用擔心我被騷擾簡訊轟炸啦!
還有一件喜事,藍盾安全衛士已正式接入iOS 11系統,完成簡訊攔截的開發和上線工作,並且已經順利上線啦!
iOS的簡訊攔截時代也將來臨
iOS使用者已經可以在App store內下載最新的藍盾安全衛士。已安裝GM版本的果粉可以搶先體驗了!
已下載iOS GM版本的使用者可開啟體驗
其他使用者也不用著急,蘋果將於9月19日正式推送iOS 11。現在下載安裝,等19日安裝iOS 11,就可以體驗全面的iOS騷擾攔截防護了。
藍盾安全衛士 你的智慧安全工具
藍盾安全衛士iOS簡訊攔截即將開啟
(2017-09-15)
距離新款iPhone 上市只有一個星期的時間了,在此十週年之際,蘋果將最新的黑科技都集結於新款的旗艦機iPhone X身上,希望再一次改變世界。
但是,最近iPhone又多了一個新的騙局——FaceTime騷擾。
1、什麼是陌生FaceTime騷擾?
最近一段時間,有不少報道都提到:
使用者收到陌生郵箱賬戶打過來的FaceTime,接通之後,對方黑屏,一段時間後結束通話。
百思不得其解之際,坊間傳聞這是新型的盜取Apple ID的騙局。今天我們也來分析一下是不是真的騙局呢?
它真的盜不了Apple ID!
之前大家所擔心的,無外乎就是擔心Apple ID被盜取。但是結合現今蘋果的安全機制,還沒有證據能直接證明,利用FaceTime能夠盜取Apple ID,因為僅憑知道對方的Apple ID想要獲取相關密碼(除非密碼和ID一致),有點類似於天方夜譚。所以,它的真正目的不在於此。
不過在此,我還是要提醒各位,把你們的密碼都設複雜點,加點符號,大小寫數字組合都得整上。駭客不會告訴你,他們常用的破及密碼的字典一般都超過10G。那些還用生日,手機,姓名全拼來做密碼的,無異於狂風中穿一件報紙糊的衣服。
它到底能盜取什麼?
結合之前的灰產來說,郵箱賬戶能夠現身,可能性有其三:
看看你的Apple ID是不是還在使用(不用的ID,FaceTime也打不通);
有可能傳送垃圾廣告,但目前還未出現;
識別面部,獲取面部影象,作為基礎盜取其它東西;
第一條來說,這個是常用手段了,你的ID在用,那麼就可以傳送比如日曆廣告,澳門xxx之類的廣告了;第二條目前還沒出現相關的案例;
我們重點來說說第三條,看下文。
2、原來是面部識別,可以用來盜取資金
有過豐富網聊經驗的朋友們,可能對錄製影片進行QQ詐騙的事情有所耳聞,大概的過程就是;
透過技術手段錄製你的影片,然後盜取你的QQ,利用你的QQ和熟人影片聊天,播放事先錄製好的影片,進行資金詐騙。
所以,這也可能成為FaceTime獲取影片的一個原因。
而最近,一些支付APP已經在測試“刷臉支付”(相關新聞大家可以搜尋一下)。所以,即有可能獲取你的面部影片,來竊取你支付賬戶裡的資金。
同時,很多APP現在流行刷臉認證,後面的事情,大家就可以腦補了。
綜合來講,面部識別的刷臉登入,有可能發展為與我們慣用的手機驗證碼同樣的功能。
而最新發布的iPhone X,一個最主要的技術亮點,就是利用面部識別來替代Touch ID,對手機進行解鎖。
所以,現在灰產的技術大拿極有可能在測試新的詐騙技術,竊取你的iPhone!
3、怎麼防範?
據目前的種種猜測,有可能的跡象,我們需要做好相應的防範措施。
1、暫時關閉FaceTime
不常用此功能的朋友們,建議在這個高發期間,暫時關掉這個功能。
設定--FaceTime--關閉
2、確定對方身份之後,再接FaceTime;
相信很少人會用到FaceTime,如果有急事要找,一般都是電話,微信,QQ,所以,不常用FaceTime的朋友接到這類電話,基本上可以結束通話了。而經常使用FaceTime的朋友們,三秒鑑定身份之後,再接聽吧。
3、開啟Apple ID雙重驗證,將Apple賬號徹底鎖在自己手上;
設定--Apple ID--密碼與安全性--雙重認證,根據提示設定雙重驗證。
4、涉及刷臉的APP設定多重保護,並經常登入檢視資金情況。
我大清亡了以後,生活處處有風險,所以朋友們萬事須謹慎,多留心眼,遠離詐騙。
總之,管好褲兜裡裡外外的東西最重要。
(2017-09-05)
只要花一元錢就可能買到iPhone手機,開走寶馬汽車,甚至得到一套房產,這種好事你相信嗎?從去年年初開始,名為“一元購”的購物網站在網路上異常火爆,多家知名的網際網路公司都曾推出過自己的一元購平臺。所謂的一元購,簡單來說就是把一件商品分成若干份,每份一元,比如一個標價五千元的手機,把它分成五千份,每份一元,當五千份都賣出去之後,一元購平臺來抽出幸運者,抽到誰,這個手機就歸誰。一元購害人不淺,有人虧損四百萬去年央視曾經曝光多起一元購“害人不淺”的例子。這種算是賭博跟詐騙嗎?
(2017-08-18)
近年經常影響全球的勒索軟體及釣魚詐騙網站,是對現今對一般使用者的最大資訊科技保安威脅,有見及此 Google 早前就已經為 Android 版 Gmail 加入反釣魚網站功能,如果終於支援 iPhone 及 iPad 版本。
加入這項功能後,當用戶點選電郵內的連結時,程式便會與雲端資料庫對比,檢查網站的安全性,就像大家使用電腦版 Chrome 一樣。當判定為危險網站後,會彈出視窗提示網站是不可信,若使用者決定繼續前往則會因應該網站的類別,作出另一次警告,此時大家應該要醒覺該網站很大機會是有問題,若仍執意前往,就只能說句 God Bless You!此功能並不需要特別更新,由即日起將自動啟用,但如果閣下所安裝的版本太舊,還是建議大家更新新版本。
(2017-08-12)