Nos primórdios da internet, os golpes de phishing eram uma ocorrência comum. Devido à novidade da internet na época, muitas pessoas desconheciam tais práticas e acabavam se tornando vítimas. Embora esse cenário tenha mudado, os golpistas também evoluíram com o tempo. A técnica essencialmente permanece a mesma: tentar se apresentar como algo oficial para enganar o usuário desatento. A principal mudança reside nas táticas e nos locais que eles utilizam para tentar aplicar o golpe. Podemos observar exemplos como o golpe de phishing do Google Docs e o golpe de phishing da VPN Plex Media que ocorreram no início deste ano. Recentemente, os dispositivos iOS se tornaram um alvo frequente desse tipo de golpe. Um aplicativo malicioso pode induzir o usuário a fornecer suas credenciais através de um pedido de login da Apple falso, praticamente indistinguível do verdadeiro. Ao inserir sua senha, o usuário cai no golpe.
Este problema foi identificado pelo pesquisador de segurança Felix Krause, que também apresenta uma solução relativamente simples para verificar se o pedido de login da Apple exibido é genuíno ou falso.
Como identificar um pedido de login falso da Apple
Quando a Apple solicita sua senha, você tem apenas duas opções: inserir a senha ou tocar em “Cancelar” para interromper a ação. Caso suspeite que o pedido exibido seja falso, toque/pressione o botão “Início”. Um pedido de login falso da Apple desaparecerá ao pressionar o botão “Início”. Se o pedido for autêntico, ele permanecerá na tela.
Será que a Apple precisa agir?
Krause destaca a eficiência da Apple em analisar os aplicativos enviados para a App Store. Sua diligência é tal que, há alguns anos, o tempo de aprovação de um aplicativo era bastante extenso, e a Apple se recusava a encurtá-lo por conveniência. Embora a empresa tenha eventualmente reduzido esse tempo, isso ocorreu apenas após ter a certeza de que poderia verificar os aplicativos com segurança nesse prazo menor. A Apple tem se esforçado consideravelmente para manter aplicativos maliciosos fora da App Store. Contudo, Krause sugere uma série de melhorias que a Apple poderia implementar para proteger os usuários contra esses golpes. A lista completa está disponível no blog pessoal de Krause, onde ele explica em detalhes como esse golpe pode passar despercebido.
Pessoalmente, considero bastante sensata a sugestão de Krause para que a Apple obrigue os desenvolvedores a adicionar um ícone para o aplicativo que está solicitando a senha do usuário. A implementação é simples, e um indicador visual é sempre uma boa opção em situações como essa.
Até o momento, não há relatos de aplicativos na App Store que estejam tentando enganar os usuários dessa forma. Entretanto, caso existisse, seria difícil suspeitar ou mesmo identificar tal aplicativo apenas com uma observação superficial. Essencialmente, Krause está alertando a todos sobre essa possibilidade.