相信每个 Apple 用户看到下图这个 Apple ID 密码输入框,应该都不会感到陌生吧!但你又知不知道,骇客竟然也能在 Apple 上伪造出一模一样的密码输入框,诱导用户以盗取密码呢?

在 Apple 的 iOS 上,每当需要安装、更新软件或用到某些权限时,系统都会自动弹出一个密码输入框,要求用户输入 Apple ID 密码。而一般上当这个密码框跳出来,90% 的人都会不假思索地乖乖输入密码。

手机应用开发员 Felix Krause 指出,iOS 经常弹出有关密码输入框,造成用户习惯一看到就输入密码。这不知不觉降低了用户的警觉性,导致骇客容易趁虚而入。

骇客只要伪造一样的对话框,就可以轻易取得用户的密码,因为许多 Apple 用户已经被训练成会自行交出密码。

为了证实这个安全问题确实存在,Krause 自行设计了会弹出相同密码输入框的程式,并跟真正的 iOS 输入框放在一起(见下图),相信绝大部分的人都无法清除区分两者。

他表示,起初他以为要伪造密码输入框,至少一定要知道用户的电邮地址。但后来他发现有时候 iOS 的密码输入框甚至没有包含电邮,于是更容易模仿。

那既然真假密码输入框看起来并没有什么分别,Apple 用户应该要怎么做才能防止密码被盗取呢?

1. 按『Home』键,看看正在使用的 App 有没有跟着退出。

如果正在使用的 App 连同密码输入框一同关掉,那么这就是钓鱼(Phishing)攻击。
在这里给大家科普一下,所谓的钓鱼攻击就是一种企图从电子通讯中,通过伪装成信誉卓着的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

而如果无法退出 App,仍然见到 App 和密码输入框,那么就表示该请求确实是来自官方系统,那么大家就可以放心输入啦!

2. 不要在弹出式对话框输入密码,反而应该退出,开启『设定』

就像不要在电邮中按连结,而应该手动贴上网址。最后就是不要打上密码后才按『取消』,假如那是伪冒的密码输入框,即使按了取消,App 仍会取得你打上去的字串。

大家下次再输入 Apple ID 密码的时候就要留心啦! 同时记得分享给其他 Apple 用户知道哦!

资料来源:ricebowl


Like 玩嘢兄弟团 Facebook!带大家玩翻全马high翻天~❤

Like Rojaklah Facebook!不出门也能知天下事~

Comments

comments