Jos omistat iPhonen, olet tottunut Apple ID -tunnuksesi jatkuvaan pyyntöön ostaessasi iTunesissa, App Storessa tai sovelluksissa. Pieni ponnahdusikkuna ilmestyy, käännät silmäsi ja syötät tunnollisesti salasanasi.
Mutta entä jos tämä ponnahdusikkuna ei ole tullut Applelta, ja se on sen sijaan suunniteltu näyttämään viralliselta pyynnöltä hakkereiden yrittäessä varastaa tunnistetietosi? Näin on kehittänyt sovelluskehittäjä Felix Krause, joka on kirjoittanut a käsitteellisen erittely haittaohjelman kaltaisia ponnahdusikkunoita.
Kuten Krause toteaa, alle 30 riviä koodia voidaan käyttää erittäin vakuuttavan tietojenkalasteluikkunan luomiseen. Vierekkäisissä kuvissa hän vertaa Applen virallista henkilötunnussanapyyntöä omiin ponnisteluihinsa. Ajatuksena olisi, että koodi salakuljetetaan sovelluksen kanssa, joten se on itse asiassa sovelluksen ilmoitus - ei Applen käyttöliittymä -, jonka käyttäjä näkee. Kuten hänen kuvansa osoittavat, kehittäjä voi suunnitella tämän näyttämään identtiseltä Kirjaudu iTunes Storeen -ponnahdusikkunaan.
Pääasia Apple-puolelta on, että iOS vaikeuttaa ilmoituksen lähteiden erottamista. iOS: n pitäisi erottaa hyvin selkeästi järjestelmän käyttöliittymä ja sovelluksen käyttöliittymän elementit, jotta ihannetapauksessa keskimääräiselle älypuhelinkäyttäjälle […] on selvää, että jokin näyttää olevan poissa, Krause sanoo.
Katso aiheeseen liittyvä haittaohjelmien liiketoiminta Valmistaudu suuriin kyberhyökkäyksiin, varoittaa National Cyber Security Center. Equifax joutuu poistamaan verkkosivun, joka tarjoaa hankalia latauksia ja haittaohjelmia Tämä on hankala ratkaista ongelma, ja selain ratkaisee sitä edelleen. sinulla on edelleen verkkosivustoja, jotka tekevät ponnahdusikkunoista näyttävän MacOS / iOS-ponnahdusikkunoilta, joten monet käyttäjät ajattelevat [ne ovat] järjestelmäviestit.
Krause lisää muutamia mahdollisia ratkaisuja ongelmaan, kuten pakottaa käyttäjän syöttämään salasanansa asetussovellukseen ponnahdusikkunan sijaan. Todennäköisempää on hänen ehdotuksensa siitä, että Apple muuttaa järjestelmän suunnittelua kehottaa sisällyttämään ylimääräisen kuvakkeen, joka osoittaa, että se on virallinen pyyntö. Hän osoittaa huutomerkkiä, jota käytetään joissakin Push-ilmoituksissa.
kuinka avata docx - tiedosto androidissa
Toistaiseksi kehittäjä huomauttaa muutaman vaiheen, jonka käyttäjät voivat tehdä estääkseen matkapuhelinten tietojenkalastelun. Helpoin on painaa Koti-painiketta. Jos tämä sulkee sovelluksen ja valintaikkunan, se oli tietojenkalasteluhyökkäys. Jos valintaikkuna ja sovellus ovat edelleen näkyvissä, se on järjestelmävalintaikkuna.
On myös syytä huomata, että tämän tyyppinen hyökkäys riippuu haitallisesta sovelluksesta, joka tekee sen läpiApp Storen tarkistusprosessi ja kehittäjä aktivoi sitten koodin. Apple on yleensä pallossa tämän tyyppisten asioiden kanssa, ja se ryhtyy toimiin, jos sen ohjeiden rikkominen havaitaan. Krause kuitenkin huomauttaa senorganisaatiot, joilla on huonoja aikomuksia, löytävät aina keinon kiertää jotakin alustan rajoituksia.