小心難以檢測的網絡釣魚攻擊可以竊取您的Apple ID密碼

嗯，你會同意兩個截圖幾乎相同，但第二張圖片中顯示的彈出窗口是假的，這是一種完美的網絡釣魚攻擊，可以用來欺騙互聯網上最謹慎的用戶。

Felix Krause是iOS開發者和Fastlane的創始人。Tools演示了一種幾乎不可能檢測到的釣魚攻擊，該攻擊解釋了惡意iOS應用程序如何竊取你的Apple ID密碼以訪問你的iCloud帳戶和數據。

根據克勞斯周二發布的一篇令人震驚的博客文章，iOS應用程序只能使用“UIAlertController“向用戶顯示假對話框，模仿蘋果官方系統對話的外觀和感覺。

因此，這使得攻擊者更容易說服用戶在沒有任何懷疑的情況下泄露他們的Apple ID密碼。

"iOS要求用戶輸入iTunes密碼的原因有很多，最常見的原因是最近安裝的iOS操作系統更新或在安裝過程中卡住的iOS應用程序。因此，用戶接受的培訓是，只要iOS提示您輸入他們的Apple ID密碼，他們就可以輸入密碼克勞斯說。

"然而，這些彈出窗口不僅顯示在鎖定屏幕和主屏幕上，還顯示在隨機應用程序中，例如，當他們想要訪問iCloud、Game Center或應用程序內購買時"。

此外，應用程序開發人員甚至可能在不知道用戶電子郵件地址的情況下生成假警報，因為蘋果有時也會這樣做，如下所示：

雖然沒有證據表明惡意攻擊者利用這種網絡釣魚伎倆，克勞斯說這是“復制系統對話框非常容易，“允許任何惡意應用程序濫用此行為。

出于安全原因，開發人員決定在演示攻擊時不包含彈出窗口的實際源代碼。

以下是如何防止此類巧妙的網絡釣魚攻擊

為了保護自己免受這種聰明的網絡釣魚攻擊，克勞斯建議用戶在顯示這種可疑框時點擊“主頁”按鈕。

如果點擊Home（主頁）按鈕同時關閉應用程序（應用程序出現在上面），對話框消失，則這是一次網絡釣魚攻擊。

如果對話框和應用程序仍然存在，那么這是蘋果的官方系統對話框。

“原因是系統對話框運行在不同的進程上，而不是作為任何iOS應用程序的一部分，”開發人員解釋道。

克勞斯還建議用戶避免在任何彈出窗口中輸入憑據，而是手動打開設置應用程序并在那里輸入憑據，就像我們一直鼓勵用戶不要點擊通過電子郵件收到的任何鏈接，而是手動訪問合法網站一樣。

最重要的是，始終使用雙因素身份驗證，因此即使攻擊者獲得了對您密碼的訪問權限，他們仍然需要努力獲取您在移動設備上收到的OTP（一次性密碼）。