怎样:从 iOS 8 的邮件应用程序中的虚假网络钓鱼攻击中识别真实的登录弹出窗口

一种 最近发现的bug 在 iOS 8 的邮件应用程序中 扬·苏切克 可以让怀有恶意的人很容易地钓鱼你的 iCloud 密码,而你却没想到出了什么问题。 使用允许加载远程 HTML 内容代替原始电子邮件内容的错误,毫无戒心的受害者将在弹出窗口中提示输入 iCloud 凭据,该弹出窗口类似于在 iOS 上找到的本机凭据。

Ars Technica 拥有 此漏洞的详细分解,但这是要点:

  1. 您收到一封电子邮件并打开它。
  2. 典型的弹出窗口会询问您的 iCloud 登录信息。
  3. 不要认为发生了任何可疑的事情,请输入您的凭据。
  4. 弹出窗口消失,您可以继续您的工作。
  5. 您的信息现在掌握在谁知道谁的手中。

如何保护自己免受邮件网络钓鱼攻击

尽管您受到这些网络钓鱼电子邮件之一的攻击的可能性很小,但知道如何发现它们以便您不会成为受害者仍然是一个好主意。

  1. 这种类型的合法弹出窗口将填写您的用户名,无法编辑。 如果用户名字段为空或可以更改,则弹出窗口不合法。

如何从 iOS 8 的邮件应用程序中的虚假网络钓鱼攻击中识别真实的登录弹出窗口(1) 真正的交易不会有用户名框。 (2) 假的意志。

  1. 无法使用 Home 或 Touch ID 按钮关闭此类真实弹出窗口。 合法弹出窗口只能通过“确定”或“取消”选项关闭。
  2. 这种攻击只能在邮件应用程序中提出。 因此,如果您在该应用程序中看到此弹出窗口,请务必小心。 无论如何,您都不太可能需要在“邮件”中验证您的 iCloud 密码。
  3. 键盘将自动与真实身份验证弹出窗口一起出现。 假的要求您在可以访问键盘之前单击字段内部。
  4. 真正的弹出窗口不能四处移动,但当键盘打开时,假的弹出窗口可以移动(如上面的视频所示)。

请记住,这是一个概念验证,但应该令人担忧。 据 Ars 称,苹果官方表示“我们不知道有任何客户受到此概念验证的影响,但正在为即将到来的软件更新进行修复。”

该补丁可能会在 iOS 8.4 中尽快发布,并且绝对应该在 iOS 9 推出时修复。