V počátcích internetové éry byly podvody založené na phishingu rozšířeným jevem. Vzhledem k tomu, že internet byl tehdy něčím novým, spousta lidí o těchto praktikách neměla tušení a stávala se obětí. Dnes se situace změnila, ale podvodníci se v průběhu času také vyvíjeli. Samotná technika zůstává stejná: snažit se vypadat důvěryhodně a obelstít nic netušícího uživatele. Rozdíl je však v tom, jak a kde se vás snaží nachytat. Jako příklad můžeme uvést phishingový podvod v Dokumentech Google nebo phishingový podvod s Plex media VPN, které se objevily začátkem letošního roku. Poslední obětí tohoto typu podvodů by mohlo být zařízení s operačním systémem iOS. Škodlivá aplikace se může pokusit odeslat uživatelům falešnou výzvu k přihlášení do Apple, která je nerozeznatelná od té pravé. Pokud zadáte své heslo, stali jste se obětí phishingu.
Tento problém odhalil bezpečnostní výzkumník Felix Krause, který také navrhl poměrně jednoduché řešení, jak ověřit, zda se jedná o falešnou výzvu k přihlášení do Apple, nebo o skutečnou.
Falešná výzva k přihlášení do Apple
Když vás Apple požádá o zadání hesla, máte pouze dvě možnosti: heslo zadat nebo kliknout na „Zrušit“ pro zrušení akce. Pokud máte podezření, že výzva, kterou vidíte, je falešná, stiskněte tlačítko Domů. Po stisknutí tlačítka Domů falešná výzva k přihlášení do Apple zmizí. Pokud je výzva legitimní, zůstane na obrazovce vašeho zařízení.
Musí Apple zasáhnout?
Krause poukazuje na to, že Apple je velmi důsledný při kontrole aplikací, které jsou nahrávány do App Store. Je natolik pečlivý, že před několika lety byla doba schvalování aplikace poměrně dlouhá a Apple ji odmítal zkrátit s ohledem na pohodlí. Společnost tuto dobu nakonec zkrátila, ale až poté, co si byla jistá, že dokáže spolehlivě kontrolovat aplikace i v kratším časovém rámci. V udržování škodlivých aplikací mimo App Store si vedou poměrně dobře. Nicméně Krause navrhuje seznam vylepšení, která by Apple mohl implementovat a vynutit, aby byli uživatelé v bezpečí před těmito podvody. Celý seznam si můžete přečíst na Krauseho osobním blogu, kde jsou podrobnosti o tom, jak může takový podvod zůstat neodhalen.
Osobně se mi zdá, že Krauseho návrh, aby Apple vyžadoval od vývojářů přidání ikony aplikace, která žádá o zadání hesla, je velmi rozumný. Implementace je snadná a v podobných případech je vizuální indikátor vždy přínosný.
Podle našich informací se v App Store v současnosti nenachází žádná aplikace, která by se tímto způsobem pokoušela o phishing uživatelů, ale pokud by taková existovala, jen těžko byste ji zpozorovali, natož abyste ji dokázali identifikovat letmým pohledem. V podstatě jde o to, že Krause touto formou upozorňuje veřejnost.