例えばiPhoneでアプリを購入するときなんかにApple IDを入力するポップアップが出るじゃないですか。「パスワード入力してね」ってやつ。
あれにソックリなポップアップを出してパスワードを盗んじゃういわゆるフィッシング詐欺の手口があるらしいんです。
パスワードを求められたからってお気軽にサックリ入力したらあきませんで!
見分けがつかない!
デベロッパーのFelix Krauseさんと言う方が見つけて自身のメディアで注意喚起してくれてるんでシェアしときます。
iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking
画像で分かりやすく比較してますので、まずは見てください。
(画像掲載元:iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking)
この画像の左側がホンモノの入力画面。右側がニセモノの入力画面。
なんだよまったくいっしょじゃないの!これはニセモノだけ画面に出てきたら見分けつかないわ…。
ちなみに、Krauseさんによるとこのニセモノは簡単にiOSアプリに組み込むことが可能らしい。日本語版とかも出来たらますます疑いなくパスワード入力しちゃいそうです…。どうすればいいんだろう。
どうやって見分ける?
Krauseさんは、このホンモノそっくりなけしからんニセモノのパスワード入力画面の対処法も書いてくれています。
Hit the home button, and see if the app quits:
If it closes the app, and with it the dialog, then this was a phishing attack
If the dialog and the app are still visible, then it’s a system dialog. The reason for that is that the system dialogs run on a different process, and not as part of any iOS app.
英語だと分からんので、ぼくの拙い英語能力で訳してみます。
ホームボタンを押してアプリが終了するか確認しましょう。
アプリといっしょにダイアログが閉じたらフィッシング詐欺です。
ダイアログとアプリが引き続き表示されている場合は、システムダイアログです。ダイアログはiOSアプリの一部として実行されるのではなく、別のプロセスで実行されているからです。
つまり、アプリに組み込まれたフィッシングのダイアログボックスはホームボタンを押すとアプリと一緒に閉じちゃうけど、ホンモノだったらアプリとは違うプロセスで実行されているのでホームボタンを押しても画面に残るはずだということですね。
ホームボタンを押してダイアログボックスが消えなかったらホンモノです。
また、一旦キャンセルして設定アプリを手動で開くのも有効とのこと。ただしその際は一文字もパスワードを入力しないように気を付けてください。最初の一文字を入力しただけでアプリにはパスワードが設定される可能性もあるそうです。
最後に
普段からapp storeで買い物しまくってる人とかは慣れちゃってポップアップ出てきたらとりあえず条件反射でパスワードを入力しちゃうような人はホントに気を付けてください。情報全部ぶっこ抜かれたらシャレになりませんから。
これ、日本語のはまだ確認されてないのかしら。日本語のが出てきたら間違いなく日本でも被害拡大しそう。
見て見分けがつかないとか、タチ悪すぎですねホントに。