Jika Anda memiliki iPhone, Anda akan terbiasa dengan permintaan konstan untuk ID Apple Anda saat melakukan pembelian di iTunes, di App Store, atau di dalam aplikasi. Sebuah pop-up kecil muncul, Anda memutar mata, dan dengan patuh memasukkan kata sandi Anda.
Tetapi bagaimana jika pop-up itu tidak berasal dari Apple, dan malah dirancang agar terlihat seperti permintaan resmi dalam upaya peretas untuk mencuri kredensial Anda? Itulah kasus yang dikemukakan oleh pengembang aplikasi Felix Krause, yang telah menulis perincian bukti konsep dari pop-up yang mirip dan berbahaya.
Sebagai catatan Krause, kurang dari 30 baris kode dapat digunakan untuk membuat dialog phishing yang sangat meyakinkan. Dalam gambar berdampingan, dia membandingkan permintaan kata sandi ID resmi Apple dengan usahanya sendiri. Idenya adalah bahwa kode tersebut diselundupkan dengan sebuah aplikasi, sehingga sebenarnya aplikasi tersebut merupakan pemberitahuan - bukan UI Apple - yang dilihat pengguna. Seperti yang ditunjukkan oleh fotonya, ini dapat dirancang oleh pengembang agar terlihat identik dengan pop-up Masuk ke iTunes Store.
Masalah utama, dari sisi Apple, adalah iOS menyulitkan untuk membedakan antara sumber notifikasi. iOS harus membedakan dengan jelas antara UI sistem dan elemen UI aplikasi, sehingga idealnya […] bagi pengguna ponsel cerdas pada umumnya bahwa ada sesuatu yang tampak aneh, kata Krause.
Lihat terkait Bisnis malware Persiapkan untuk serangan cyber besar, peringatkan Pusat Keamanan Cyber Nasional Equifax dipaksa untuk menghapus halaman web yang menyajikan unduhan cerdik dan malware Ini adalah masalah yang sulit dipecahkan, dan browser web masih mengatasinya; Anda masih memiliki situs web yang membuat pop-up terlihat seperti pop-up macOS / iOS, sehingga banyak pengguna yang mengira [itu] pesan sistem.
Krause menambahkan beberapa solusi potensial untuk masalah tersebut, seperti memaksa pengguna untuk memasukkan kata sandi mereka di aplikasi pengaturan alih-alih pop-up. Yang lebih mungkin terjadi adalah sarannya agar Apple mengubah desain sistemnya dan meminta untuk menyertakan ikon tambahan yang menunjukkan itu adalah permintaan resmi. Dia menunjuk ke tanda seru yang digunakan dalam beberapa notifikasi Push, di bawah.
cara terhubung ke wifi apa pun
Untuk saat ini, pengembang mencatat beberapa langkah yang dapat dilakukan pengguna untuk mencegah phishing seluler. Cara termudah adalah dengan menekan tombol Beranda Anda. Jika ini menutup aplikasi dan dialog, maka itu adalah serangan phishing. Jika dialog dan aplikasi masih terlihat, maka itu adalah dialog sistem.
Perlu diperhatikan juga bahwa jenis serangan ini akan bergantung pada aplikasi berbahaya yang berhasil melewatinyaproses peninjauan App Store, dan kode kemudian diaktifkan oleh pengembang. Apple umumnya setuju dengan jenis hal ini, dan akan mengambil tindakan jika pelanggaran pedoman seperti itu terdeteksi. Namun Krause mencatat ituorganisasi dengan niat buruk akan selalu menemukan cara untuk mengatasi keterbatasan platform.