Lo sviluppatore Felix Krause ha oggi condiviso nuovi dettagli in merito ad alcuni attacchi phishing che coinvolgerebbero i dispositivi iOS. Pare infatti che gli hacker siano riusciti a riprodurre una copia esatta dei pop-up Apple richiedenti l’inserimento della password collegata al proprio ID rubando di fatto le credenziali. In questo articolo vi spiegheremo come distinguerli.
Utilizzando una UIAlertController che emula il design del sistema per la richiesta di una password, gli sviluppatori “malevoli” sono riusciti a creare un interfaccia phishing identica a quella originale di Apple che trae in inganno gli utenti.
Mostrare un box di dialogo esattamente uguale a quello Apple è un metodo super semplice per far cascare l’utente nella trappola, salvare le proprie credenziali e riutilizzarle in futuro o piuttosto venderle. Bastano poco meno di 30 linee di codice e ogni sviluppatore iOS sarebbe in grado di mettere su questa baracca per truffare gli utenti oppure se Apple non se ne accorgesse durante la verifica di un app in App Store sarebbe molto più grave il risultato.
L’attacco phishing descritto qui sopra non è certo nuovo ma pare che negli ultimi mesi stia spopolando ragion per cui desidero che voi prendiate delle accortezze in più. Come potete vedere dall’immagine qui sopra non c’è alcuna differenza tra l’alert fasullo e quello vero ma c’è un modo per distinguere i due pop-up.
Se pensate che quel pop-up che vi è apparso non sarebbe dovuto apparirvi allora premete il tasto Home e se sia l’app che il pop-up si chiudono allora era un tentativo di phishing, mentre se il pop-up rimane aperto in primo piano e l’app si chiude vuol dire che è un avviso proposto da Apple e quindi sarà l’unico di cui dovrete fidarvi.
È inoltre altamente consigliato di dismettere il pop-up e inserire le proprie credenziali direttamente nelle Impostazioni, così non potrete sbagliare.
Come protezione extra ad attacchi di questo tipo dovreste abilitare l’autenticazione in due fattori, che permette di avere una sicurezza in più bloccando gli hacker dall’effettuare il login al vostro account Apple se sprovvisti di codice di sicurezza univoco che riceverete via sms o su dispositivi precedentemente verificati.
Madonna santa che articolo di merda! Ma dove vi siete informati? Su Donna Moderna?
Non c’è stato nessun attacco di phising, né fantimatici attacchi di hacker.
Lo sviluppatore Felix Krause, come ha spiegato lui stesso ha simulato un possibile attacco di phising, creando i pop up. Nessuna applicazione è stata inviata all’Apple Store, nessuno attacco è stato portato a termine, ma è stata fatta una proof of concept, ossia è stato visto se fosse possibile avere pop up simili a quelli di sistema. Risposta: sì, è possibile.
Questo significa che ci sono stati attacchi? No.
Bastava leggere.
https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking