Dinside Her i redaksjonen får vi nærmest daglig såkalte «phishing»-eposter, eller nettfisking, som det heter på korrekt norsk.
Det kan være eposter som tilsynelatende er fra Apple, fra diverse banker, skatteetaten, PayPal og andre, men som egentlig er ren svindel.
Som regel får man beskjed om å logge på for å verifisere kontoinformasjonen sin eller lignende, men klikker man på lenka i eposten kommer man til svindlernes side; kamuflert som en legitim nettside. Gir man så bort brukernavnet og passordet er det fritt frem for bakmennene å bruke det videre.
LES MER: Er e-posten ekte eller er det phishing?
Skummel iOS-variant
I januar oppdaget Jan Souček en svakhet med iOS’ epostprogram. Ved å utnytte det at epostprogrammet på iPhone og iPad ikke filtrerer bort en gitt HTML-tag, klarte han å simulere påloggingsvinduet for iCloud fra innholdet i en epost.
Svakheten ble rapportert inn til Apple, som foreløpig ikke har gjort noe for å rette feilen.
Derfor har Souček publisert et såkalt «proof of concept» på kodedelingstjenesten GitHub, som dermed kan lastes ned av alle som er interessert. Dermed er det også fritt frem for svindlere som ønsker å utnytte denne svakheten.
LES OGSÅ: 13 passordsynder du bør unngå
Farlig fordi: Ser ut som den vanlige boksen
Mens vi ler av dårlig norsk i de vanlige phishing-epostene vi får, må vi innrømme at vi lett kunne ha gått på denne. I videoen under kan du se hvordan det utarter seg når man mottar en slik epost, der man tilsynelatende blir bedt om å logge på iCloud. Fyller man inn epost og passord i boksen, kan det imidlertid fanges opp av den som sendte eposten.
Husk: Apples egen variant, altså den «originale» påloggingsboksen, ville nemlig ha oppført seg litt annerledes.
For det første ville autokorrektur-funksjonen blitt avslått, og boksen ville heller ikke ha forsvunnet om du trykket på hjem-knappen.
Akkurat det tror vi imidlertid de færreste vil legge merke til.
Vær på vakt
Siden koden er lagt ut i offentligheten skal vi ikke se bort i fra at det kan komme flere varianter av denne den nærmeste tiden. Vær derfor på vakt og advar gjerne venner og kjente.
Så får vi satse på at den offentlige publiseringen gjør at Apple går raskt til verks for å tette dette hullet.
PS! Aktiverer du tostegsverifiseringen fra Apple, vil det ikke holde å ha brukernavnet og passordet ditt, der du i tillegg må supplere med en engangskode for å logge på fra en ny enhet. Dette kan du selv aktivere på My Apple ID-siden.
LES MER: Sikre nettkonti med tofaktorautentisering
Kilde for: Mobil – DinSide.no