Az internet korai korában gyakoriak voltak az adathalász csalások. Mivel az internet akkoriban új volt, nem sokan tudtak róluk és estek áldozatul. Ez most megváltozott, de a csalók is fejlődtek az idő múlásával. A technika ugyanaz; próbáljon hivatalosnak látszani, és becsapja a gyanútlan felhasználót. A különbség az, hogy hogyan és hova próbálják elérni. Vegyük a példát a Google Docs adathalászatról és a Plex media VPN adathalászatról, amely az év elején zajlott. A Az ilyen típusú csalások legújabb áldozata egy iOS-eszköz lehet. Egy rosszindulatú alkalmazás dönthet úgy, hogy hamis Apple bejelentkezési felszólítást küld a felhasználóknak, amely megkülönböztethetetlen a valóditól. Ha megadja jelszavát, sikeresen adathalászat történt.
Ez A problémát Felix Krause biztonsági kutató azonosította akinek van egy meglehetősen egyszerű megoldása is, amellyel ellenőrizheti, hogy hamis vagy legális Apple bejelentkezési felszólítást lát-e.
Hamis Apple bejelentkezési felszólítás
Amikor az Apple kéri a jelszó megadását, csak két választása van; írja be a jelszót, vagy érintse meg a Mégse gombot a művelet megszakításához. Ha azt gyanítja, hogy egy üzenet hamis, érintse meg/nyomja meg a Kezdőlap gombot. A hamis Apple bejelentkezési üzenet eltűnik, ha megérinti a kezdőlap gombot. Ha a felszólítás valós, akkor a képernyőn marad.
Kell-e beavatkoznia az Apple-nek?
Krause rámutat, hogy az Apple nagyon jól tudja ellenőrizni az App Store-ba beküldött alkalmazásokat. Annyira szorgalmas, hogy néhány évvel ezelőtt egy alkalmazás jóváhagyási ideje meglehetősen hosszú volt, és az Apple a kényelem kedvéért nem volt hajlandó lerövidíteni. A vállalat végül csökkentette, de addig nem, amíg nem tudta, hogy rövidebb időn belül megbízhatóan tudja ellenőrizni az alkalmazásokat. Meglehetősen jól teljesítenek abban, hogy távol tartják a rosszindulatú alkalmazásokat az App Store-ból. Ennek ellenére a Krause-nak van egy listája azokról a fejlesztésekről, amelyeket az Apple végrehajthat és betartathat, hogy megvédje a felhasználókat ezektől a csalásoktól. A teljes listát Krause személyes blogján olvashatja el, ahol részleteket olvashat arról, hogyan maradhat észrevétlen egy ilyen átverés.
A magam részéről meglehetősen ésszerűnek tartom Krause javaslatát, hogy az Apple kényszerítse a fejlesztőket, hogy adjanak hozzá egy ikont az alkalmazáshoz, amely a jelszó megadását kéri. Könnyen kivitelezhető, és a vizuális jelző mindig jobb az ilyen esetekben.
Tudomásunk szerint jelenleg nincs olyan alkalmazás az App Store-ban, amely így próbálná adathalászni a felhasználókat, de ha lenne, akkor nem is sejtené, nemhogy egy felületes pillantással azonosítani tudja. Ez alapvetően Krause mindenkinek felhívja a figyelmet.