在使用 iPhone 的過程中,我們可能已經習慣了蘋果官方彈窗,要求在其中輸入 Apple ID 和密碼,並且這種彈窗有時候不一定會出現在 App Store 或 iTunes 應用程式中。這時我們可要小心了,因為這樣的彈窗有可能是釣魚工具框,用來騙取使用者的 Apple ID 和密碼!
左側是蘋果官方彈窗,右側是釣魚工具框
一名叫 Felix Krause 的國外開發者今天公佈了一種釣魚攻擊的新方式,採用 UIAlertController 模擬系統密碼請求彈窗的設計樣式,第三方 App 開發者可以建立一個完全相同的彈窗用作釣魚工具,可能很多人會上當。
Krause 已經向蘋果公司報告了這一問題,並建議將蘋果公司要求使用者在設定中輸入他們的憑證,
而不是直接透過一個可以很容易模仿的彈出框,或者彈出框上顯示個 App 圖示,以表明應用程式在要求密碼而不是來自系統。
那麼我們要如何判斷彈出視窗是蘋果官方的還是釣魚?
如果彈出一個視窗,點選 Home 鍵關閉應用程式視窗消失,那它可能是來自 App 的釣魚攻擊。如果來自蘋果的系統,彈窗依然會存在。
這種 iOS 釣魚工具並非第一次出現,蘋果也有很嚴格的稽核機制,但 iOS 使用者還是要注意不要從不明渠道下載 App。
當然了,小編還是建議大家務必啟用雙重驗證,這樣即便你的 Apple ID 被盜,犯罪分子也不可能在沒有驗證過的裝置上登入。
