I internettets tidlige alder var phishing-svindel almindelige. Fordi internettet var nyt på det tidspunkt, kendte ikke mange til dem og blev ofre. Det er ændret nu, men svindlere har også udviklet sig med tiden. Teknikken er den samme; prøv at se officiel ud og narre den intetanende bruger. Forskellen er, hvordan og hvor de prøver at få dig. Tag eksemplet med Google Docs-phishing-svindel og Plex media VPN-phishing-svindel, der fandt sted tidligere i år. Det seneste offer for disse typer svindel kunne være en iOS-enhed. En ondsindet app kan vælge at sende brugerne en falsk Apple-logonprompt, der ikke kan skelnes fra den ægte vare. Hvis du indtaster din adgangskode, er du blevet phishet.
Det her problemet blev identificeret af sikkerhedsforsker Felix Krause som også har en ret simpel løsning, som du kan bruge til at tjekke, om du ser en falsk Apple-logonprompt eller en lovlig.
Falske Apple-logonprompt
Når Apple beder dig om at indtaste din adgangskode, har du kun to valg; indtast adgangskoden, eller tryk på Annuller for at afbryde en handling. Hvis du har mistanke om, at en prompt, du ser, er falsk, skal du trykke/trykke på knappen Hjem. En falsk Apple-logonprompt forsvinder, når du trykker på startknappen. Hvis prompten er ægte, forbliver den på din skærm.
Behøver Apple at gribe ind?
Krause påpeger, at Apple er meget gode til at undersøge de apps, der sendes til App Store. Det er så flittigt, at godkendelsestiden for en app for nogle år siden var ret lang, og Apple nægtede at forkorte den for nemheds skyld. Virksomheden reducerede det til sidst, men ikke før det vidste, at det pålideligt kunne tjekke apps i den kortere tidsramme. De klarer sig rimeligt godt i forhold til at holde ondsindede apps ude af App Store. Når det er sagt, har Krause en liste over forbedringer, som Apple kan lave og håndhæve for at beskytte brugerne mod disse svindelnumre. Du kan læse hele listen på Krauses personlige blog, hvor detaljer om, hvordan sådan et fupnummer kan forblive uopdaget.
For mit vedkommende finder jeg Krauses forslag om at få Apple til at tvinge udviklere til at tilføje et ikon til appen, der beder dig om at indtaste din adgangskode, ret rimeligt. Det er nemt at implementere, og en visuel indikator er altid bedre i tilfælde som dette.
Så vidt vi ved, er der ingen app på nuværende tidspunkt i App Store, der forsøger at phishe brugere som denne, men hvis der var, ville du ikke have mistanke om det, endsige være i stand til at identificere det med et overfladisk blik. Dette er dybest set Krause, der giver alle en heads-up.