Запрос пароля для Apple ID очень легко подделать: как не попасться на уловку злоумышленников Статьи редакции
Короткая инструкция, чтобы защитить себя от неприятностей.
Обладатели устройств на iOS видят окна запроса пароля во время оплаты покупок в AppStore или iTunes и получении доступа к iCloud или Game Center. Некоторые фишинговые приложения выводят практически идентичные предупреждения, чтобы получить пароли пользователей.
iOS-разработчик Феликс Крузе (Felix Krause) рассказал в своём блоге о том, как отличить системный запрос пароля для Apple ID от поддельного.
Нажмите кнопку «Домой» и сверните приложение
Самый простой шаг — попытаться свернуть приложение. Если вместе с ними закрылось и окно пароля, то это было поддельное предупреждение, если осталось на месте — системное. Не стоит вводить пароль и нажимать «Отмена», так как даже в этом случае злоумышленники успеют украсть ваши данные.
При этом злоумышленникам необязательно знать электронную почту — некоторые системные уведомления его не показывают.
Доверяйте уведомлениям на заблокированном экране
Иногда запрос пароля для Apple ID приходит на заблокированный экран — это более надежный способ. По словам разработчика, фишинговые приложения пока не могут отправлять push-уведомления с запросом пароля.
Обращайте внимание на внешние признаки
По словам Крузе, практически любой опытный разработчик сможет написать собственное окно запроса на iOS. Примеры кода и оформления предупреждения опубликованы в открытом доступе в документации Apple.
В среднем код запроса занимает всего 30 строчек, поэтому каждый может сделать собственный вид фишинга. Но некоторые детали авторы поддельных приложений могут упустить: к примеру, в системном уведомлении стоят обычные кавычки, а в фишинговом — «кавычки-лапки».
Лучше включить двухфакторную аутентификацию
Пользователи, использующие двухфакторную аутентификацию для аккаунта Apple ID, почти наверняка защищены. Даже если злоумышленники узнают пароль, им потребуется защитный код, который приходит на другие устройства.
Однако Крузе отметил, что не стоит слепо доверять уведомлениям даже с включенной двухфакторной аутентификацией. Иначе пользователи рискуют раскрыть злоумышленникам не только пароль, но и код безопасности.
Разработчик назвал указанную проблему «очень сложной для решения» из-за того, что хакеры могут довольно точно подделать пользовательский интерфейс. Несмотря на то, что Apple критически относится к проверке публикуемых в App Store приложений, у некоторых злоумышленников получается спрятать фишинговые функции в код: они могут автоматически активироваться только после того, как проверка будет пройдена.
В качестве рекомендаций Крузе предложил Apple просить пользователя лишний раз зайти в «Настройки», а не сразу вводить пароль. Также уведомления от приложений можно было бы помечать специальным значком, чтобы они отличались от системных запросов.
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
Не слышал чтобы такое было на ведре.
Комментарий недоступен
Приложение же проходит проверку перед публикацией в AppStore. Все ок
C:\Users\Default\Downloads\thats_the_joke.jpg
у тебя картинка не подгрузилась. попробуй <img src="\тут ссылка\">
<img src="\тут ссылка\">
Способ попроще - не ставить на телефон непонятное говно.
Если я не ошибаюсь, когда совершается встроенная покупка, iOS сначала показывает ее детали (название, стоимость и т.д.) и только на следующем шаге просить ввести пароль от Apple ID.
Если сообщение с просьбой ввести пароль появилось сразу, это должно насторожить само по себе.
Окей, не совсем так, пароль запрашивается сразу. Но раньше, кажется, было по-другому.
Комментарий недоступен