骗子盗取ID新套路,苹果手机用户小心了


最近,IOS、Android 应用开发辅助工具 Fastlane 创始人、安全专家菲利克斯·克劳斯(Felix Krause)公布了一篇文章。
文章中讲到,软件开发者只需要做一套和系统对话框很像的钓鱼工具,就可以尝试盗用苹果用户的 Apple ID 和密码。


不少人习惯在大部分网站都用同一套组合来登陆,对于这样的用户,盗来的 ID 加密码也许会造成更大的损失。

左为系统对话框,右为钓鱼对话框,一摸一样


作者说这个想法只在理论阶段,不过从开发角度来看应该也不难。


iOS 经常会以各种各样的理由要求用户输入 Apple ID 的密码,比如系统更新,软件安装等等,很多用户因此被训练出了条件反射,会下意识地直接输入密码。


上面那个图片的效果有邮箱,需要开发者花点心思去搞到手,但下面这个图就太容易了。。。


左为系统对话框,没有显示邮箱地址,右为钓鱼对话框




如何防止被钓鱼:


点击 Home 键

如果对话框和 App 同时消失,那么就是钓鱼

如果对话框没有消失,那就是系统对话框,原理是系统对话框是独立运行的。

关掉对话框,手动进入系统设置里输入一遍 Apple ID 的密码


有时候苹果系统会提醒你去系统设置里输入一遍,假的会让你直接输入




尽管现在苹果已经有了双重验证机制,但是钓鱼者依然有可能用这套邮箱密码组合去其他网站上尝试。


用苹果的差友们还是多长个心眼吧~