警惕釣魚頁面盜取Apple ID賬號
你能從以上2個截圖中看出,哪個是真的iCloud登陸界面嗎?
光從截圖來看,很難分辨。事實是第2個截圖是假的釣魚界面。這樣逼真的釣魚頁面恐怕很多資深果粉都不能分辨出來。
Fastlane創始人Felix Krause是一個iOS程序員,他向大家演示了一款惡意軟體如何利用類似的釣魚頁面盜取用戶的Apple ID賬號和存放在iCloud里的數據。
他在周二發布了日誌,警告大家要注意有些iOS應用程序會利用「UIAlertController」來彈出假的Apple ID登陸窗口。這樣的界面會讓用戶放鬆警惕,輸入自己Apple ID密碼。
iOS系統會因為各種原因要求用戶輸入賬戶密碼,最常見的就是在系統更新或應用程序更新時要求用戶輸入密碼,因此用戶會習慣在看到密碼窗口時輸入賬號密碼。
然而這個密碼彈窗不僅會出現在鎖屏界面和主界面,還會出現在應用程序界面。更有甚者,有些應用程序開發者還會設計出需要用戶填寫電郵地址賬號的界面。如下圖:
雖然目前還沒有軟體利用這個特性發起釣魚攻擊行為,但是這個系統彈窗很容易在應用程序中實現,這樣也就很容易出現賬號的釣魚頁面。出於安全考慮,Felix Krause沒有在演示程序中加入彈窗的相關代碼。
以下是如何來防範此類釣魚攻擊:
如果在應用程序中出現了賬戶密碼彈窗,點擊手機「Home」鍵返回主頁面,如果回到主頁面後彈窗也消失,那麼這個窗口就是假的,這就是一次釣魚攻擊行為。如果回到主頁面後,賬戶密碼彈窗依然存在,那麼這是系統自帶的彈窗,是真的。這麼做的原因在於,系統自帶的彈窗使用的進程和應用程序的進程不同。
Felix Krause還建議用戶盡量不要在彈窗中輸入個人敏感信息,實在需要輸入最好進入手機「設置」中進行。最重要的是一定要使用雙因素認證,這樣的話即使黑客得到用戶的密碼信息,還需要有一次性密碼認證,而一次性密碼會發送到用戶的手機上。
歡迎關注我們:WTT資訊 知乎用戶
推薦閱讀:
※Windows堆棧溢出利用的七種方式
※俄羅斯互聯網巨頭2500萬用戶數據泄露
※花無涯帶你走進黑客之 小白入門 第一彈
※Powershell攻擊指南——黑客後滲透之道系列之基礎篇
※2017 NSA網路武器庫泄露工具總結分析
TAG:苹果公司AppleInc | 网络安全 | iOS开发 |