警惕釣魚頁面盜取Apple ID賬號

你能從以上2個截圖中看出，哪個是真的iCloud登陸界面嗎？

光從截圖來看，很難分辨。事實是第2個截圖是假的釣魚界面。這樣逼真的釣魚頁面恐怕很多資深果粉都不能分辨出來。

Fastlane創始人Felix Krause是一個iOS程序員，他向大家演示了一款惡意軟體如何利用類似的釣魚頁面盜取用戶的Apple ID賬號和存放在iCloud里的數據。

他在周二發布了日誌，警告大家要注意有些iOS應用程序會利用「UIAlertController」來彈出假的Apple ID登陸窗口。這樣的界面會讓用戶放鬆警惕，輸入自己Apple ID密碼。

iOS系統會因為各種原因要求用戶輸入賬戶密碼，最常見的就是在系統更新或應用程序更新時要求用戶輸入密碼，因此用戶會習慣在看到密碼窗口時輸入賬號密碼。

然而這個密碼彈窗不僅會出現在鎖屏界面和主界面，還會出現在應用程序界面。更有甚者，有些應用程序開發者還會設計出需要用戶填寫電郵地址賬號的界面。如下圖：

雖然目前還沒有軟體利用這個特性發起釣魚攻擊行為，但是這個系統彈窗很容易在應用程序中實現，這樣也就很容易出現賬號的釣魚頁面。出於安全考慮，Felix Krause沒有在演示程序中加入彈窗的相關代碼。

以下是如何來防範此類釣魚攻擊：

如果在應用程序中出現了賬戶密碼彈窗，點擊手機「Home」鍵返回主頁面，如果回到主頁面後彈窗也消失，那麼這個窗口就是假的，這就是一次釣魚攻擊行為。如果回到主頁面後，賬戶密碼彈窗依然存在，那麼這是系統自帶的彈窗，是真的。這麼做的原因在於，系統自帶的彈窗使用的進程和應用程序的進程不同。

Felix Krause還建議用戶盡量不要在彈窗中輸入個人敏感信息，實在需要輸入最好進入手機「設置」中進行。最重要的是一定要使用雙因素認證，這樣的話即使黑客得到用戶的密碼信息，還需要有一次性密碼認證，而一次性密碼會發送到用戶的手機上。

歡迎關注我們：WTT資訊 知乎用戶

推薦閱讀：