當用了許久一直正常使用的 iPhone 出現這樣的彈窗時,你的第一反應除了吐槽一下蘋果之外,會不會警覺已經被“釣魚”了?
回憶自己的 Apple ID 賬號和密碼後,把相應的內容填寫進去,你是不是這麼做的?
就在昨晚,編在看新聞的時候,發現了這條消息,因為身邊的確遇到這樣的事情了!應用開發者故意在自己的應用中設計釣魚彈窗來盜取用戶 Apple ID 與密碼的可能性,這種自行設計的彈窗可以做到在顯示上與 iOS 賬號密碼輸入彈窗完全相同。
✅ 為 iOS 官方系統彈窗;右邊 為釣魚彈窗
騙術揭秘
首先,不管是哪一代 iOS 系統,都曾向用戶展示過這樣的賬號密碼彈窗,比如在 iOS 升級時、Game Center 登錄時、應用內付費購買時等等。iOS 用戶已經理所當然地養成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習慣。因此利用釣魚彈窗來盜取 Apple ID 賬號密碼,大多數用戶可能都會乖乖配合。
這是一段非常簡單的代碼,只要是位開發者都知道怎麼寫,所以問題就在於開發者有沒有做壞事的心思。
你想問開發者怎麼會知道我的 Apple ID 郵箱呢,再設計一個彈窗也不是什麼難事。你以為你輸入的內容無人知曉,實際上應用已經悄悄記錄了下來。
最後,Apple 不會讓這些應用通過上架審核的吧?這很難說!此外這類彈窗完全可以在應用通過 App Store審核後實現,繞開 Apple 的各種審核手段,例如使用遠程代碼、定時代碼等(遠程代碼是被禁止使用的,但仍有通過審核的可能)。
如何防騙
是否有一種有效的手段可以避免被這類以假亂真的釣魚彈窗欺騙呢?答案也是肯定的。以下的方法都可以使用:
按一下 Home 鍵看看它會不會消失
如果一個 Alert 彈窗是系統實現的,那麼按下 Home 鍵,它不會消失;而如果一個 Alert 彈窗是應用實現的,那麼按下 Home 鍵,它會消失。按下 AssistiveTouch 中的 Home 鍵後(左圖),它並沒有消失,而仍然顯示在主屏幕上(右圖),這是真的!
按下主屏幕 home 鍵 依然不湖消失
同樣,不會消失的系統彈窗還有將電話號碼用於 iMessage 和 FaceTime 時的彈窗、開啟使用 Touch ID 下載應用時的彈窗等。這是因為這些彈窗都是由 iOS 系統發出的,脫離於任何一個應用之外。
不過,按下 Home 鍵來辨別其它類型的釣魚彈窗就不管用了,因為 iOS 上需要 Apple ID 賬號和密碼的場景很多。比如在 iOS 11 中第三方應用的內購,可能會需要輸入密碼,而這些窗口在按下 Home 鍵後是會消失的。
不輸入或故意輸入錯誤的賬號和密碼
如果是 iOS 系統要求你輸入 Apple ID 賬號和密碼,顯然你必須輸入正確的內容,才能使操作繼續。而如果你輸入了錯誤的內容或者乾脆不輸入也能繼續,那麼很有可能這是釣魚彈窗。
不要在彈窗中輸入賬號和密碼
儘量使用 Touch ID、Face ID 等身份認證方式,而避免在彈窗中輸入賬號密碼。如果一定要輸入才能進行身份認證,可以在 iOS 系統的「設置」中進行,因為 iOS 系統官方的彈窗,就是從設置中調取用戶的身份認證。
終極保護:雙重認證
為你的 Apple ID 開啟雙重認證 後,當有應用或服務想要訪問你的賬號時,iOS 除了要求你輸入賬號和密碼之外,還會給你的「受信任設備」或「受信任電話號碼」發送驗證碼,這三項完全正確,才能訪問你的 Apple ID。因此,即使釣魚彈窗獲取了你的 Apple ID 賬號和密碼,它們也無法得知驗證碼,在短時間內你的賬戶還是安全的。你可以儘快修改 Apple ID 賬號和密碼,以防數據洩漏財產損失。
閱讀更多 肥西論壇 的文章
