圈小蛙
今日比较火的安全信息是,有v2ex网友分享了一个被苹果iOS App弹窗钓鱼攻击的案例。虽然iOS弹窗钓鱼攻击问题由来以久,但这次分享中遇到的是开启了双重验证的账号也未能幸免。
钓鱼App名为“菜谱大全”,下载地址是:https://Apps.Apple.com/cn/App/id1658240702,目前已经被苹果下架。
钓鱼盗号的流程
1、盗号者上架一个容易被下载的App,本案中是”菜谱大全“,诱骗不熟练使用苹果手机的中老年人使用;
2、App中放置一个假的AppleID登录功能,触发iOS提示用户访问登录苹果AppleID官网Appleid.Apple.com的页面,受害者如果没有仔细观察或无防范意识就会通过FaceID等帮助盗号者SSO登录成功;
3、App跳出一个HTML5伪造的UIAlert窗口,假冒系统弹窗,要求输入AppleID密码,受害者以为是系统跳出的密码框(这个密码弹窗是伪造Apple UI的,迷惑性特别强,除了显示的「 AppLeID 」和「登陆」有瑕疵外),于是继续输入密码,尽管它的警报文本对于有经验的用户来说看起来很假,但它仍然可以欺骗很多对信息安全问题不太敏感的用户;
4、盗号者通过前面获得的信息,把未经授权的手机号码(如Google Voice)加入双重认证的电话号码列表中,整个操作过程中没有弹出2FA通知;
5、盗号者并不会直接用AppleID下单支付,而是会创建一个家庭共享,将另一个人添加为家庭共享成员,在这个账号内购买虚拟商品。
相关的盗号域名及链接
https://app.yime888.com/api/ck.php
https://app.yime888.com/admin/login.php
https://app.yime888.com/api/index.php
https://app.yime888.com/api/updata_urls.php?url=pianzi&url2=pianzi&url3=pianzi&num=1&txt1=1&txt2=1
bahpxmz.cn
qnclywm.cn
以上盗号域名大多已经关闭,无法访问,但是根据有黑客大佬成功攻克后进入的盗号者网站后台,之前受害者已经有将近3.5万。至于v2ex文章作者提出到的苹果糟糕的审核、傲慢的服务、啥都不懂的客服,我们已经司空见惯,最主要还是增强自我保护意识。