インターネットの黎明期には、フィッシング詐欺一般的でした。当時インターネットは新しいものでしたので、インターネットについて知っていて被害に遭う人はあまりいませんでした。それは今では変わっていますが、詐欺師も時間とともに進化しています。テクニックは同じです。公式に見えるようにして、疑いを持たないユーザーをだます。違いは、彼らがどのように、どこであなたを獲得しようとするかです。今年初めに流行したGoogleドキュメントのフィッシング詐欺とPlexメディアVPNフィッシング詐欺の例を見てみましょう。これらのタイプの詐欺の最新の犠牲者は、iOSデバイスである可能性があります。悪意のあるアプリは、本物と区別がつかない偽のAppleサインインプロンプトをユーザーに送信することを選択できます。パスワードを入力すれば、フィッシングに成功しています。
この問題はセキュリティ研究者のFelix Krauseによって特定されました。FelixKrauseも非常にシンプルなソリューションを使用しており、偽のAppleログインプロンプトが表示されているか、正当なログインプロンプトが表示されているかを確認できます。
偽のAppleサインインプロンプト
アップルからパスワードの入力を求められたら、選択肢は2つだけです。パスワードを入力するか、[キャンセル]をタップして操作を中止します。表示されているプロンプトが偽物であると思われる場合は、ホームボタンをタップまたは押します。ホームボタンをタップすると、偽のAppleサインインプロンプトが消えます。プロンプトが本物である場合は、画面に残ります。
アップルは介入する必要がありますか?
クラウス氏は、アップル社は非常に得意であると指摘しているApp Storeに送信されたアプリを審査します。非常に勤勉なので、数年前のアプリの承認期間はかなり長く、Appleは便宜上アプリを短縮することを拒否しました。同社は最終的にそれを削減しましたが、それよりも短い期間で確実にアプリをチェックできることがわかるまではそうではありませんでした。悪意のあるアプリをApp Storeから除外するという点で、彼らはかなりうまくやっています。とはいえ、クラウゼには、ユーザーをこれらの詐欺から安全に保つためにAppleが実施および実施できる改善のリストがあります。 Krauseの個人ブログの全リストを読むと、このような詐欺がどのように検出されないかの詳細がわかります。
私としては、クラウゼの提案がAppleは、かなり合理的なパスワードの入力を求めるアプリのアイコンを開発者に追加するように強制します。実装は簡単で、このような場合には視覚的なインジケーターが常に優れています。
現在、アプリはありません。このようにユーザーをフィッシングしようとしているApp Storeですが、疑わなかったとしても、おおざっぱな外観でそれを特定できることは言うまでもありません。これは基本的にクラウゼで、全員にヘッズアップを与えます。
コメント