※ 引述《purplvampire (阿修雷)》之銘言： : 小心假的Apple ID輸入視窗騙走你的帳號密碼 : https://www.ithome.com.tw/news/117347 : 一名專門打造行動程式建置工具的開發人員Felix Krause在本周展示了如何藉由模擬蘋果 : 要求使用者輸入Apple ID的介面，誘導使用者交出Apple ID的帳號與密碼。 : Krause以詼諧的口吻來描述此事：「你想要使用者Apple ID的密碼以存取他們的蘋果帳號 : 嗎？只要禮貌地問他們，他們很可能就會交出來。」 : Krause解釋，iOS經常要求使用者輸入Apple ID的密碼，有時候是為了安裝iOS更新，有時 : 候是在安裝程式並卡住的時候，或者是在執行程式內購買時，因此，在每次跳出Apple ID : 密碼輸入介面時，使用者已經習慣不假思索地輸入自己的密碼。 : 即使蘋果嚴格把關登上App Store的程式，但這些程式可能會在通過蘋果審核之後透過遠 : 端程式碼、遠端配置工具、 iTunes search API，或者是定時工具來注入偽造介面。 : Krause示範了如何於iOS裝置上秀出假冒的Apple ID密碼輸入視窗，涵蓋有否要求使用者 : 電子郵件帳號的兩種視窗，顯示出它與官方視窗一模一樣，根本無法辨別真偽。 : 要模仿該介面非常地方便，因為蘋果提供了文件範例，而且Krause只用了不到30行程式就 : 寫出了介面，還說這對每個iOS工程師而言都很容易。 : Krause建議蘋果應該要在密碼輸入視窗上明白標示這是來自系統要求或是行動程式的要求 : ，也覺得蘋果根本不應該經常要用戶輸入Apple ID密碼，若非輸入不可，最好是藉由設定 : 功能輸入，而非仰賴跳出視窗。 : ------- : 嚴謹的存取架構一旦成為習慣，也就變成一種致命的漏洞，輸入密碼前先確認目的， : 才能避免成為裸照的受害者，你cc 本來想用推文，但是太長，就回文了。 手機排版，文章可能會斷得很奇怪... 不得不說，我就是被騙的那一個。 其實從頭到尾，跟蘋果有關係就只有寄來的email是用「service @apple.xxxx」的名字和 內容是「你的帳號一直有人在測試，快點去確認」的信件和「webxxxx.xxxxx」的假蘋果 網頁而已。 因為前陣子一直收到以蘋果公司為名義的確認信，在不堪其擾下，就點進去填寫資料。填 地址姓名的是還好，但是又填了信用卡就很麻煩。 沒錯，我填了信用卡卡號和後三碼... 然後隔天就收到一張order說我買了王者榮耀的$1200禮包...我馬上打電話去銀行止付，但 是第一位銀行客服說： 1.還沒入帳，不用止付 2.就算入帳，也不能止付，因為你已經線上授權了。 向她解釋那是詐騙，她也沒辦法提供任何解決方案，一直說不可以不行；第二次再打進去 ，說：我要停卡。另一位客服就用掛失來解決盜刷的問題。 事件到這裡應該算停了，但是之後還是有收到幾封訂單及帳戶被攻擊的確認信，不填不是 沒事，要信用卡掛失，詐騙集團刷不了才算整個停止。 所以，我要以我的經驗告訴大家，有收到帳戶被攻擊的確認信時，記得去看網址是不是ap ple.com,不是就別點進去填資料了；如果不幸填了，就快點去銀行掛失信用卡，掛失理由 就說是被詐騙，有經驗的客服通常會幫你換卡號... 希望大家不要有被騙的一天 以上 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.37.222.236 ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1507744606.A.D84.html