PSA:新的釣魚攻擊可能會騙你泄露你的蘋果賬號密碼
PSA:新的釣魚攻擊可能會騙你泄露你的蘋果賬號密碼。
如果你使用的是iOS設備,你幾乎肯定會看到上面的彈出框要求你輸入你的蘋果賬號密碼。它經常出現在App Store和iTunes商店中,但由於後台運行的某些東西,它也會時不時地隨機彈出。
然而,來自開發者Felix Krause的一篇新博文解釋了這種彈出方式可以用來誘使某人交出他們的蘋果ID和密碼……
這位開發者解釋說,對於iOS應用開發者來說,重新創建蘋果ID密碼提示非常容易。從那裡,該應用可以發送那個彈出框,並隨後記錄Apple ID和密碼。它只需要不到30行代碼,而且似乎可以在任何合法的iOS應用中被刪除,並悄悄經過app Store審核團隊。
顯示一個類似於系統彈出的對話框非常簡單,沒有任何魔法或秘密代碼,這是蘋果文檔中提供的例子,有一個定製的文本。
我決定不開源真正的彈出式代碼,不過請注意,它的代碼行數不到30行,而且每一位iOS工程師都能快速構建自己的釣魚代碼。
Krause指出,多年來,這一直是桌面瀏覽器的一個大問題,一些不合法的網站會發送假的彈出式廣告,幾乎與正常的系統通知一樣。對於iOS來說,這基本上是一樣的。他表示,他已經向蘋果提交了這一問題,並解釋稱,蘋果不允許在彈出窗口中輸入密碼,而只是在設置應用/app Store中設置密碼。
至於如何保護自己,Krause概述了以下步驟:
點擊主頁按鈕,看看應用是否會退出:如果關閉應用,以及對話框,那麼如果對話框和應用仍然可見,那麼這就是一個網路釣魚攻擊,那麼這就是一個系統對話框。這樣做的原因是,系統對話框運行在一個不同的進程上,而不是作為任何iOS應用的一部分。
如果它關閉了應用程序,以及對話框,那麼這就是網路釣魚攻擊
如果對話框和應用程序仍然可見,那麼它就是一個系統對話框。這樣做的原因是,系統對話框運行在一個不同的進程上,而不是作為任何iOS應用的一部分。
不要把你的憑證輸入一個彈出框,而是取消它,然後手動打開設置。這是相同的概念,你不應該點擊電子郵件的鏈接,而是手動打開網站。
如果你點擊了對話框中的取消按鈕,該應用仍然可以訪問密碼域的內容。甚至在輸入了第一個字元之後,該應用可能已經有了你的密碼。
※比特幣逆天上漲 你所看不懂的數字貨幣 全球經濟未來在哪裡
※區塊鏈正蔓延到金融以外的領域:現在它正在扼殺虛假的QA證書ZDNet
※新加坡即將進入基於區塊鏈的數字KYC金融技術排名
※世界上最大的航空公司之一正在研究區塊鏈技術
TAG:沐佑森灰產 |