Hoe een valse Apple-aanmeldingsprompt te identificeren?

In het begin van het internet waren phishing-aanvallen heel gewoon. Omdat internet toen nieuw was, wisten niet veel mensen ervan en werden ze het slachtoffer. Dat is nu veranderd, maar oplichters zijn ook met de tijd geëvolueerd. De techniek is hetzelfde; probeer er officieel uit te zien en de nietsvermoedende gebruiker voor de gek te houden. Het verschil is hoe en waar ze je proberen te pakken te krijgen. Neem het voorbeeld van de Google Documenten phishing-zwendel en de Plex media VPN phishing-zwendel dat ging eerder dit jaar rond. De laatste slachtoffer van dit soort oplichting kan een iOS-apparaat zijn. Een kwaadwillende app kan ervoor kiezen gebruikers een nep-aanmeldingsprompt van Apple te sturen die niet van echt te onderscheiden is. Als u uw wachtwoord invoert, bent u succesvol gephishing.

Dit probleem werd geïdentificeerd door beveiligingsonderzoeker Felix Krause die ook een vrij eenvoudige oplossing heeft die u kunt gebruiken om te controleren of u een nep-aanmeldingsprompt van Apple ziet, of een legitieme.

Valse Apple-aanmeldingsprompt

Wanneer Apple je vraagt ​​om je wachtwoord in te voeren, heb je maar twee keuzes; voer het wachtwoord in of tik op Annuleren om een ​​actie af te breken. Als u vermoedt dat een prompt die u ziet nep is, tikt/drukt u op de startknop. Een nep-aanmeldingsprompt van Apple verdwijnt wanneer u op de startknop tikt. Als de prompt echt is, blijft deze op uw scherm staan.

Moet Apple ingrijpen?

Krause wijst erop dat Apple erg goed is in het doorlichten van de apps die naar de App Store worden gestuurd. Het is zo ijverig dat een paar jaar geleden de goedkeuringstijd voor een app behoorlijk lang was en Apple voor het gemak weigerde deze in te korten. Het bedrijf verminderde het uiteindelijk, maar pas toen het wist dat het apps betrouwbaar kon controleren in dat kortere tijdsbestek. Ze doen het redelijk goed wat betreft het weren van kwaadaardige apps uit de App Store. Dat gezegd hebbende, heeft Krause een lijst met verbeteringen die Apple kan aanbrengen en afdwingen om gebruikers te beschermen tegen deze oplichting. U kunt de volledige lijst lezen op Krause's persoonlijke blog, waar details worden gegeven over hoe een dergelijke zwendel onopgemerkt kan blijven.

Wat mij betreft, vind ik de suggestie van Krause om Apple ontwikkelaars te dwingen een pictogram toe te voegen voor de app die je vraagt ​​om je wachtwoord in te voeren redelijk redelijk. Het is eenvoudig te implementeren en een visuele indicator is in dit soort gevallen altijd beter.

Voor zover wij weten, is er momenteel geen app in de App Store die gebruikers op deze manier probeert te phishing, maar als dat zo zou zijn, zou je het niet vermoeden, laat staan ​​​​dat je het met een vluchtige blik kunt identificeren. Dit is eigenlijk Krause die iedereen een waarschuwing geeft.