In den Anfängen des Internets waren Phishing-Betrügereien weit verbreitet. Da das Internet damals neu war, wussten nicht viele Leute davon und wurden Opfer. Das hat sich jetzt geändert, aber auch Betrüger haben sich mit der Zeit weiterentwickelt. Die Technik ist dieselbe; Versuchen Sie, offiziell auszusehen und den ahnungslosen Benutzer zu täuschen. Der Unterschied besteht darin, wie und wo sie versuchen, Sie zu erreichen. Nehmen Sie das Beispiel des Google Docs-Phishing-Betrugs und des Plex Media VPN-Phishing-Betrugs, der Anfang dieses Jahres im Umlauf war. Der Das neueste Opfer dieser Art von Betrug könnte ein iOS-Gerät sein. Eine bösartige App kann Benutzern eine gefälschte Apple-Anmeldeaufforderung senden, die von der echten nicht zu unterscheiden ist. Wenn Sie Ihr Passwort eingeben, wurden Sie erfolgreich gephishing.
Dies Problem identifizierte Sicherheitsforscher Felix Krause der auch eine ziemlich einfache Lösung hat, mit der Sie überprüfen können, ob Sie eine gefälschte oder eine echte Apple-Anmeldeaufforderung sehen.
Gefälschte Apple-Anmeldeaufforderung
Wenn Apple Sie auffordert, Ihr Passwort einzugeben, haben Sie nur zwei Möglichkeiten; Geben Sie das Passwort ein oder tippen Sie auf Abbrechen, um eine Aktion abzubrechen. Wenn Sie vermuten, dass eine Eingabeaufforderung, die Sie sehen, gefälscht ist, tippen/drücken Sie auf die Home-Taste. Eine gefälschte Apple-Anmeldeaufforderung verschwindet, wenn Sie auf die Home-Schaltfläche tippen. Wenn die Eingabeaufforderung echt ist, bleibt sie auf Ihrem Bildschirm.
Muss Apple eingreifen?
Krause weist darauf hin, dass Apple sehr gut darin ist, die Apps zu überprüfen, die an den App Store übermittelt werden. Es ist so fleißig, dass die Genehmigungszeit für eine App vor ein paar Jahren ziemlich lang war und Apple sich aus Bequemlichkeitsgründen weigerte, sie zu verkürzen. Das Unternehmen reduzierte es schließlich, aber erst, als es wusste, dass es Apps in diesem kürzeren Zeitrahmen zuverlässig überprüfen konnte. Sie schneiden ziemlich gut ab, wenn es darum geht, bösartige Apps aus dem App Store fernzuhalten. Allerdings hat Krause eine Liste von Verbesserungen, die Apple vornehmen und durchsetzen kann, um Benutzer vor diesen Betrügereien zu schützen. Sie können die vollständige Liste in Krauses persönlichem Blog lesen, wo Details darüber, wie ein solcher Betrug unentdeckt bleiben kann, zu finden sind.
Ich für meinen Teil finde Krauses Vorschlag, Apple dazu zu bringen, Entwickler dazu zu zwingen, ein Symbol für die App hinzuzufügen, das Sie auffordert, Ihr Passwort einzugeben, ziemlich vernünftig. Es ist einfach zu implementieren und eine visuelle Anzeige ist in solchen Fällen immer besser.
Unseres Wissens nach gibt es derzeit keine App im App Store, die versucht, Benutzer auf diese Weise zu phishen, aber wenn es eine gäbe, würden Sie es nicht vermuten, geschweige denn in der Lage sein, sie mit einem flüchtigen Blick zu identifizieren. Das ist im Grunde Krause, der allen ein Heads-up gibt.