数日前、iOS 8のメールアプリでバグが発見され、悪意のある個人がネイティブのiCloudログインプロンプトに非常によく似たポップアップを使用してiCloudユーザー名とパスワードをフィッシングできるようになりました。 このバグにより、元の電子メールメッセージのコンテンツの代わりにリモートHTMLコンテンツをロードできます。
幸いなことに、ログインプロンプトが正当であるかデマであるかを識別する簡単な方法がいくつかあります。 このようなフィッシング攻撃を回避する方法は次のとおりです。
- 正当なiCloudログインプロンプトの場合、ユーザー名は自動的に入力され、グレー表示されます。 ユーザー名が空白であるか、変更できる場合は、おそらく偽のユーザー名です。
- 偽のプロンプトは、メールアプリのメールの本文部分にのみ表示されます。
- 正当なプロンプトの場合、キーボードが自動的に表示されます。 対照的に、偽のキーボードの場合、フィールド内をタップしてキーボードを表示する必要があります。
- 正当なログインプロンプトはモーダルです。つまり、[OK]または[キャンセル]ボタンをタップする以外は何もできません。 偽のプロンプトはモーダルではないため、プロンプトが表示されているときに[ホーム]ボタンを押してホーム画面に移動する場合、それはデマであり、信頼すべきではないことを意味します。
これらのポイントに注意して覚えている場合、このようなフィッシング攻撃を回避できるはずです。
このような攻撃から身を守る最善の方法は、Apple IDの2段階認証を有効にすることです。 ヘルプが必要な場合は、ガイドに従ってください。
更新: iPhoneをジェイルブレイクした場合は、DeDirectをインストールする必要があります。ジェイルブレイクの微調整は、メールアプリのこのような悪意のあるポップアップをブロックします。 クリスありがとう!
Appleはこの問題を認識しており、今後のソフトウェアアップデートで修正すると述べています。