V raném věku internetu byly phishingové podvody běžné. Protože internet byl v té době novinkou, moc lidí o nich nevědělo a stali se obětí. To se nyní změnilo, ale postupem času se vyvíjeli i podvodníci. Technika je stejná; zkuste se tvářit oficiálně a oklamat nic netušícího uživatele. Rozdíl je v tom, jak a kde se vás snaží dostat. Vezměte si příklad phishingového podvodu v Dokumentech Google a phishingového podvodu Plex media VPN, který se objevil na začátku tohoto roku. The poslední obětí těchto typů podvodů by mohlo být zařízení se systémem iOS. Škodlivá aplikace se může rozhodnout odeslat uživatelům falešnou výzvu k přihlášení k Apple, která je k nerozeznání od skutečné věci. Pokud zadáte své heslo, byli jste úspěšně phishing.
Tento Problém zjistil bezpečnostní výzkumník Felix Krause který má také docela jednoduché řešení, které můžete použít ke kontrole, zda se vám nezobrazuje falešná výzva k přihlášení do Apple, nebo legitimní.
Falešná výzva k přihlášení do Apple
Když vás Apple vyzve k zadání hesla, máte pouze dvě možnosti; zadejte heslo nebo klepněte na Zrušit pro zrušení akce. Pokud máte podezření, že výzva, kterou vidíte, je falešná, klepněte/stiskněte tlačítko Domů. Když klepnete na tlačítko Domů, falešná výzva k přihlášení k Apple zmizí. Pokud je výzva skutečná, zůstane na vaší obrazovce.
Musí Apple zasahovat?
Krause poukazuje na to, že Apple je velmi dobrý v prověřování aplikací, které jsou odesílány do App Store. Je to tak pilné, že před několika lety byla doba schválení aplikace pěkně dlouhá a Apple ji odmítl zkrátit kvůli pohodlí. Společnost to nakonec snížila, ale až když věděla, že dokáže spolehlivě kontrolovat aplikace v tomto kratším časovém rámci. Daří se jim poměrně dobře, pokud jde o udržování škodlivých aplikací mimo App Store. To znamená, že Krause má seznam vylepšení, která může Apple provést a vynutit, aby byli uživatelé v bezpečí před těmito podvody. Úplný seznam si můžete přečíst na Krauseově osobním blogu, kde jsou podrobnosti o tom, jak může takový podvod zůstat neodhalen.
Co se mě týče, považuji Krauseho návrh, aby Apple nutil vývojáře, aby přidali ikonu aplikace, která vás žádá o zadání hesla, za docela rozumný. Implementace je snadná a v případech, jako je tento, je vždy lepší vizuální indikátor.
Pokud je nám známo, v App Store v současné době neexistuje žádná aplikace, která by se takto pokoušela uživatele phishingem, ale pokud by existovala, nepochybovali byste o tom, natož abyste ji dokázali identifikovat letmým pohledem. V podstatě jde o to, že Krause dává každému heads-up.