Le phishing est une méthode de plus en plus utilisée pour tenter d’obtenir les identifiants et mots de passe des utilisateurs. Les personnes derrière le phishing se chargent d’utiliser une page qui est similaire à celle d’origine pour faire croire à l’utilisateur que la demande vient bien de son service. En réalité, ce n’est pas le cas.

Avec l’adresse email affichée

Ici, le développeur Felix Krause montre qu’une personne mal intentionnée pour pousser le vice avec les utilisateurs sur iPhone ou iPad. L’idée est de créer le même pop-up qu’Apple affiche de temps en temps où il est nécessaire d’entrer le mot de passe de son compte. Ce pop-up peut s’afficher n’importe quand, que ce soit pour un achat, une connexion sur iCloud qui a besoin d’être vérifiée et plus. Les utilisateurs sont tellement habitués à entrer leur code qu’ils peuvent tomber dans le piège du « faux » pop-up.

Sur l’image, le vrai pop-up d’Apple est à gauche et le pop-up pour le phishing est à droite. Comme nous pouvons le voir, il n’y a pas de différence, si ce n’est que le mot de passe entré sur le pop-up de phishing ira directement sur le serveur de la personne mal intentionnée.

Sans l’adresse email affichée

Comment éviter de se faire piéger ? Felix Krause invite les utilisateurs à appuyer sur le bouton Home. Si le pop-up reste affiché, c’est qu’il vient bien d’Apple. Si le pop-up disparaît et l’iPhone revient sur l’écran d’accueil, c’est du phishing.

Le développeur note que le pop-up se repose sur UIAlertController et peut être créé avec moins de 30 lignes de code. Mais pour éviter que des personnes mal intentionnées en profitent, il a décidé de ne pas dévoiler les lignes de code en question.