Felix Krause, pengembang iOS dan pendiri Fastlane.Tools, mendemonstrasikan serangan phishing yang sulit dideteksi dan menjelaskan bagaimana aplikasi iOS berbahaya dapat mencuri password ID Apple untuk mendapatkan akses ke akun dan data iCloud.
Menurut sebuah posting blog yang diterbitkan pada hari Selasa oleh Krause, sebuah aplikasi iOS bisa menggunakan “UIAlertController” untuk menampilkan kotak dialog palsu kepada pengguna, menirukan tampilan dan nuansa dialog sistem resmi Apple.
Oleh karena itu, ini mempermudah penyerang untuk meyakinkan pengguna agar memberikan password ID Apple tanpa kecurigaan.
Selain itu, bahkan mungkin bagi pengembang aplikasi untuk menghasilkan lansiran palsu tanpa mengetahui alamat email pengguna karena Apple juga melakukan itu kadang-kadang, seperti yang ditunjukkan di bawah ini:
Meskipun tidak ada bukti penyerang berbahaya yang memanfaatkan trik phishing ini, Krause mengatakan bahwa “sangat mudah untuk meniru dialog sistem,” yang memungkinkan ada aplikasi berbahaya menyalahgunakan perilaku ini.
Untuk alasan keamanan, pengembang telah memutuskan untuk tidak menyertakan kode sumber popup yang sebenarnya saat mendemonstrasikan serangan tersebut.
Berikut Cara Mencegah Serangan Phishing Yang Seperti Ini
Untuk melindungi diri dari serangan phishing yang cerdik tersebut, Krause menyarankan pengguna menekan tombol “Home” saat mereka menampilkan kotak yang mencurigakan tersebut.
Jika menekan tombol Home menutup kedua aplikasi, yang muncul, dan kotak dialognya hilang, maka itu adalah serangan phishing.
Jika dialog dan aplikasi masih ada, maka itu adalah dialog sistem resmi oleh Apple.
“Alasannya adalah bahwa dialog sistem dijalankan pada proses yang berbeda, dan bukan sebagai bagian dari aplikasi iOS manapun,” pengembang tersebut menjelaskan.
Krause juga menyarankan pengguna agar tidak memasukkan kredensial ke dalam popup mana pun dan membuka pengaturan aplikasi secara manual lalu memasukkan kredensial di sana, sama seperti pengguna untuk tidak mengeklik tautan yang diterima melalui email dan masuk ke situs web yang sah secara manual.
Yang terpenting, selalu gunakan otentikasi 2 faktor, bahkan jika penyerang mendapatkan akses password, mereka masih perlu berjuang untuk melewati otentikasi.
