在使用 iPhone 的过程中,我们可能已经习惯了苹果官方弹窗,要求在其中输入 Apple ID 和密码,并且这种弹窗有时候不一定会出现在 App Store 或 iTunes 应用程序中。这时我们可要小心了,因为这样的弹窗有可能是钓鱼工具框,用来骗取用户的 Apple ID 和密码!
左侧是苹果官方弹窗,右侧是钓鱼工具框
一名叫 Felix Krause 的国外开发者今天公布了一种钓鱼攻击的新方式,采用 UIAlertController 模拟系统密码请求弹窗的设计样式,第三方 App 开发者可以创建一个完全相同的弹窗用作钓鱼工具,可能很多人会上当。
Krause 已经向苹果公司报告了这一问题,并建议将苹果公司要求用户在设置中输入他们的凭证,
而不是直接通过一个可以很容易模仿的弹出框,或者弹出框上显示个 App 图标,以表明应用程序在要求密码而不是来自系统。
那么我们要如何判断弹出窗口是苹果官方的还是钓鱼?
如果弹出一个窗口,点击 Home 键关闭应用程序窗口消失,那它可能是来自 App 的钓鱼攻击。如果来自苹果的系统,弹窗依然会存在。
这种 iOS 钓鱼工具并非第一次出现,苹果也有很严格的审核机制,但 iOS 用户还是要注意不要从不明渠道下载 App。
当然了,小编还是建议大家务必启用双重验证,这样即便你的 Apple ID 被盗,犯罪分子也不可能在没有验证过的设备上登录。