Nos primórdios da internet, os golpes de phishing eram comuns. Porque a internet era nova na época, muitas pessoas não sabiam sobre eles e foram vítimas. Isso mudou agora, mas os golpistas também evoluíram com o tempo. A técnica é a mesma; tente parecer oficial e enganar o usuário desavisado. A diferença é como e onde eles tentam te pegar. Veja o exemplo do golpe de phishing do Google Docs e do golpe de phishing do Plex media VPN que estava acontecendo no início deste ano. O mais recente vítima desses tipos de golpes pode ser um dispositivo iOS. Um aplicativo malicioso pode optar por enviar aos usuários um prompt de login falso da Apple que é indistinguível do real. Se você digitar sua senha, você foi phishing com sucesso.
Isto problema foi identificado pelo pesquisador de segurança Felix Krause que também tem uma solução bastante simples que você pode usar para verificar se está vendo um prompt de login falso da Apple ou um legítimo.
Prompt de login falso da Apple
Quando a Apple solicita que você digite sua senha, você só tem duas opções; digite a senha ou toque em Cancelar para abortar uma ação. Se você suspeitar que um prompt que está vendo é falso, toque/pressione o botão Início. Um prompt de login falso da Apple desaparecerá quando você tocar no botão home. Se o prompt for real, ele permanecerá na tela.
A Apple precisa intervir?
Krause ressalta que a Apple é muito boa em vetar os aplicativos que são enviados à App Store. É tão diligente que, há alguns anos, o tempo de aprovação de um aplicativo era bastante longo e a Apple se recusou a encurtá-lo por conveniência. A empresa acabou reduzindo, mas não até saber que poderia verificar aplicativos de maneira confiável nesse período de tempo mais curto. Eles estão indo razoavelmente bem em manter aplicativos maliciosos fora da App Store. Dito isso, Krause tem uma lista de melhorias que a Apple pode fazer e aplicar para manter os usuários protegidos contra esses golpes. Você pode ler a lista completa no blog pessoal de Krause, onde detalhes de como esse golpe pode passar despercebido.
De minha parte, acho a sugestão de Krause para que a Apple force os desenvolvedores a adicionar um ícone para o aplicativo que está pedindo para você digitar sua senha bastante razoável. É fácil de implementar e um indicador visual é sempre melhor em casos como este.
Até onde sabemos, não há nenhum aplicativo na App Store que esteja tentando enganar os usuários dessa forma, mas se houvesse, você não suspeitaria, muito menos seria capaz de identificá-lo com um olhar superficial. Isso é basicamente Krause dando um alerta a todos.