Технологии
Николай Чумаков

Запрос пароля для Apple ID очень легко подделать: как не попасться на уловку злоумышленников

Короткая инструкция, чтобы защитить себя от неприятностей.

Обладатели устройств на iOS видят окна запроса пароля во время оплаты покупок в AppStore или iTunes и получении доступа к iCloud или Game Center. Некоторые фишинговые приложения выводят практически идентичные предупреждения, чтобы получить пароли пользователей.

iOS-разработчик Феликс Крузе (Felix Krause) рассказал в своём блоге о том, как отличить системный запрос пароля для Apple ID от поддельного.

Нажмите кнопку «Домой» и сверните приложение

Самый простой шаг — попытаться свернуть приложение. Если вместе с ними закрылось и окно пароля, то это было поддельное предупреждение, если осталось на месте — системное. Не стоит вводить пароль и нажимать «Отмена», так как даже в этом случае злоумышленники успеют украсть ваши данные.

При этом злоумышленникам необязательно знать электронную почту — некоторые системные уведомления его не показывают.

Слева системное уведомление, справа — поддельное. Фото из блога Феликса Круза

Доверяйте уведомлениям на заблокированном экране

Иногда запрос пароля для Apple ID приходит на заблокированный экран — это более надежный способ. По словам разработчика, фишинговые приложения пока не могут отправлять push-уведомления с запросом пароля.

Push-уведомление с требованием ввести Apple ID

Обращайте внимание на внешние признаки

По словам Крузе, практически любой опытный разработчик сможет написать собственное окно запроса на iOS. Примеры кода и оформления предупреждения опубликованы в открытом доступе в документации Apple.

В среднем код запроса занимает всего 30 строчек, поэтому каждый может сделать собственный вид фишинга. Но некоторые детали авторы поддельных приложений могут упустить: к примеру, в системном уведомлении стоят обычные кавычки, а в фишинговом — «кавычки-лапки».

Слева системное уведомление, справа — поддельное

Лучше включить двухфакторную аутентификацию

Пользователи, использующие двухфакторную аутентификацию для аккаунта Apple ID, почти наверняка защищены. Даже если злоумышленники узнают пароль, им потребуется защитный код, который приходит на другие устройства.

Однако Крузе отметил, что не стоит слепо доверять уведомлениям даже с включенной двухфакторной аутентификацией. Иначе пользователи рискуют раскрыть злоумышленникам не только пароль, но и код безопасности.

* * *

Разработчик назвал указанную проблему «очень сложной для решения» из-за того, что хакеры могут довольно точно подделать пользовательский интерфейс. Несмотря на то, что Apple критически относится к проверке публикуемых в App Store приложений, у некоторых злоумышленников получается спрятать фишинговые функции в код: они могут автоматически активироваться только после того, как проверка будет пройдена.

В качестве рекомендаций Крузе предложил Apple просить пользователя лишний раз зайти в «Настройки», а не сразу вводить пароль. Также уведомления от приложений можно было бы помечать специальным значком, чтобы они отличались от системных запросов.

#хакеры #кибербезопасность #apple