Nella prima età di Internet, le truffe di phishing erano comuni. Poiché Internet era una novità all’epoca, non molte persone ne erano a conoscenza e ne furono vittime. Ora è cambiato, ma anche i truffatori si sono evoluti nel tempo. La tecnica è la stessa; prova a sembrare ufficiale e ingannare l’utente ignaro. La differenza è come e dove cercano di prenderti. Prendi l’esempio della truffa di phishing di Google Docs e della truffa di phishing di Plex media VPN che era in corso all’inizio di quest’anno. Il l’ultima vittima di questi tipi di truffe potrebbe essere un dispositivo iOS. Un’app dannosa può scegliere di inviare agli utenti un falso prompt di accesso Apple che è indistinguibile da quello reale. Se inserisci la tua password, sei stato phishing con successo.
Questo problema è stato identificato dal ricercatore di sicurezza Felix Krause che ha anche una soluzione piuttosto semplice che puoi utilizzare per verificare se stai vedendo un falso prompt di accesso Apple o uno legittimo.
Prompt di accesso Apple falso
Quando Apple ti chiede di inserire la password, hai solo due scelte; immettere la password o toccare Annulla per interrompere un’azione. Se sospetti che un messaggio visualizzato sia falso, tocca / premi il pulsante Home. Una falsa richiesta di accesso Apple scomparirà quando tocchi il pulsante Home. Se il messaggio è reale, rimarrà sullo schermo.
Apple deve intervenire?
Krause sottolinea che Apple è molto brava a controllare le app inviate all’App Store. È così diligente che alcuni anni fa il tempo di approvazione per un’app era piuttosto lungo e Apple si è rifiutata di accorciarlo per comodità. L’azienda alla fine lo ha ridotto, ma non finché non ha saputo di poter controllare in modo affidabile le app in quel lasso di tempo più breve. Stanno andando ragionevolmente bene in termini di mantenere le app dannose fuori dall’App Store. Detto questo, Krause ha un elenco di miglioramenti che Apple può apportare e applicare per proteggere gli utenti da queste truffe. Puoi leggere l’elenco completo sul blog personale di Krause dove i dettagli su come una tale truffa può passare inosservata.
Da parte mia, trovo che il suggerimento di Krause di far sì che Apple costringa gli sviluppatori ad aggiungere un’icona per l’app che ti chiede di inserire la tua password abbastanza ragionevole. È facile da implementare e un indicatore visivo è sempre migliore in casi come questo.
Per quanto ne sappiamo, non esiste attualmente alcuna app nell’App Store che stia tentando di phishing degli utenti in questo modo, ma se ci fosse non lo sospetteresti, figuriamoci essere in grado di identificarla con uno sguardo superficiale. Questo è fondamentalmente Krause che dà a tutti un avvertimento.