近日,同事的iPhone手机又在使用过程中被人推送垃圾信息。不同以往的是,这次是通过发送相册分享邀请的方式。但同时,我们也监测到了不少网友也纷纷表示收到了同样的垃圾信息,并且大家都有一个共同点:使用QQ邮箱注册了Apple ID。
首先我们来介绍一下iPhone目前活跃中的两种垃圾信息的推广方式和对策;
1、iCloud相册推广
正常使用中的iPhone手机突然收到相册分享邀请,打开一看发现是垃圾信息:
解决方案:
依次打开“设置”-“iCloud”-“照片”-“iCloud照片共享”: 关闭
2、iCloud日历推广
同样是正常使用中的iPhone手机,突然直接弹出收到的垃圾推广信息:
重要提示:
我们建议用户在收到此类垃圾信息时,切勿点击任何链接,同时也不要理会。此类邀请信息底部一般有系统提供的三个选项,即“接受”、“可能”和“拒绝”。不论用户点击了哪个选项,发送者端都会显示回复者的真实姓名,直接造成用户敏感信息的泄漏。在拥有用户邮件地址和真实姓名后,不排除发送者会有进一步的钓鱼攻击等诈骗行为。
解决方案:
如果希望避免收到此类邀请,则可在iOS的设置中依次进入“邮件”、“通讯录”、“日历”选项,找到并关闭其中的 “邮件中找到的事件”;
白帽汇安全实验室调研:
先看相对“成熟”的iCloud日历垃圾信息是怎样操作的。
打开日历, 点击中间日历两个字,然后点击日历后面的i符号:
将会出现如下图所示界面,上面第一排是可以任意填写的,自然可以被恶意改为垃圾信息:
把上图中的“日历”改成想要推广的内容,输入联系人后点击添加,就能发送成功了(当然能同时添加多个联系人);
这都不算什么,手动添加毕竟太累,因此不法分子们还制作了可批量发送垃圾信息的软件工具!
以上是通过iCloud日历邀请发送垃圾信息的例子,iCloud相册分享推送垃圾信息出现得稍晚一些,操作流程和这个相差不大;
首先依次打开“iCloud”-“相册”-“共享”-“开始共享”;
然后就会需要输入标题内容,一般推送赌博网站垃圾信息的话就会写: xxx娱乐城xxx.com来就送xx元;
然后输入iCloud绑定的邮箱,点击创建,对方就能收到推广的信息了~
现在在市面上暂未发现该软件,但是已经有人提出需求了,估计成品软件也快了吧~
除此以外,此前通过iMessage推送垃圾短信的方式也曾持续泛滥过,好在Apple官方也有应对举措。即开通了iMessageSPAM信息举报邮箱,用户只需要将垃圾信息的相关资源发送到这个邮箱,官方就可根据发送记录采取限制账号的措施。
那么,为什么用QQ邮箱注册Apple ID就容易出这种问题?
原因:
1、 大多数用户习惯使用QQ邮箱作为自己的Apple ID使用,甚至把QQ邮箱的登录密码也作为Apple ID的登录密码;
2、 QQ用户群体庞大,容易成为不法分子的攻击目标;其中据白帽汇安全实验室团队此前一次针对QQ账号密码信息钓鱼网站的调研数据显示,在当天24小时内,便有超过16000套QQ账号和密码信息被用户不小心泄漏;
3、 被泄漏的这些QQ账号信息会被不法分子用来推送垃圾信息,如前文提到的iCloud日历、iCloud相册推送垃圾信息等案例;
4、 如果恰巧用户也将QQ密码用于Apple帐号密码,则有很大几率遭遇停机敲诈(此前媒体也有过相关报道);
应对:
1、 重要账号不要使用相同密码,并定期修改密码;
2、 开启Apple ID的两步验证功能;
3、在需要输入密码的场合保持必要的警惕,需仔细甄别是否为官方网站;一个比较悲观的事实是:绝大部分QQ密码都是用户自己在不知不觉中泄漏的;
4、如果又想使用iCloud的相关功能,又不想被推送垃圾信息,尽量避开QQ邮箱并使用其他邮箱注册Apple帐号;
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/55663.html