Bagaimana 'Lucid' mengeksploitasi iMessage untuk mengirim serangan phishing terenkripsi ke iPhone Anda

Inilah sesuatu yang mungkin tidak Anda ketahui: peretas dapat mendaftar untuk platform phishing-as-a-service. Dengan kata lain, ada bisnis yang mengumpulkan paket perangkat lunak Phaas yang dapat dibeli oleh peretas dan menjalankan skema phishing. PHAAS baru bernama Lucid sekarang tersedia dan digunakan untuk menargetkan iPhone, menurut laporan oleh peneliti keamanan Catalyst.

Yang mengkhawatirkan tentang Lucid adalah bahwa itu melibatkan pesan phishing yang dikirim melalui iMessage Apple, yang menggunakan enkripsi ujung ke ujung yang memungkinkan pesan untuk memotong filter spam. Lucid juga mengirim pesan melalui RCS terenkripsi, yang memungkinkan serangan pada perangkat Android. Apple telah mengumumkan dukungan untuk RCS terenkripsi yang akan tiba di pembaruan iOS di masa depan.

Untuk dapat mengirim pesan phishing melalui iMessage, peternakan iPhone ada. Xinxin, bisnis di belakang Lucid, mengklaim dapat mengirim lebih dari 100.000 pesan setiap hari menggunakan “ID Apple sementara dengan nama tampilan yang ditiru,” menurut laporan tersebut. Paket PHAAS menawarkan templat sehingga penyerang dapat membuat situs web dan pesan yang tampak sah. Pesan phishing mendesak pembaca untuk membayar biaya tol yang belum dibayar, biaya pengiriman, atau pajak, dan tautan mengarahkan pengguna ke situs web yang terlihat seperti situs yang sah, seperti situs yang menyamar sebagai layanan pos AS.

Beberapa pengguna iPhone mungkin merasakan keamanan ketika menerima iMessage karena langkah -langkah Apple, tetapi Catalyst mencatat bahwa rasa aman yang dimanfaatkan oleh peretas. Lucid memiliki tingkat keberhasilan yang “membuat operasi hemat biaya.”

Bagaimana melindungi diri Anda dari serangan peretas

Pesan teks nyaman, tetapi juga membuat Anda rentan untuk menyerang. Jangan gunakan tautan dalam pesan teks bila memungkinkan; Selalu periksa URL jika Anda benar -benar perlu menggunakan tautan. Penyerang akan menyamarkan domain palsu agar terlihat seperti yang sah. Jika sebuah pesan ditulis dengan buruk, memiliki kesalahan ketik, salah eja, dan tata bahasa yang buruk, jangan percaya. MacWorld memiliki panduan untuk menghindari serangan smishing. Apple merilis tambalan keamanan melalui pembaruan OS, jadi menginstalnya sesegera mungkin adalah penting. Jika Anda menggunakan browser pihak ketiga, MacWorld memiliki beberapa panduan untuk membantu, termasuk panduan apakah Anda memerlukan perangkat lunak antivirus, daftar virus Mac, malware, dan trojan, dan perbandingan perangkat lunak keamanan Mac.