Bảo vệ thông tin cá nhân: Đề phòng lừa đảo ứng dụng xác thực trên Apple và Google

Tôi là một trong những người đó về mặt trực quan ghét quảng cáo trực tuyến Vào năm 2024, theo quan điểm khiêm tốn của tôi, 99,999% trong số đó là cực kỳ xâm phạm (cả từ góc độ quyền riêng tư và khả năng sử dụng) và không phục vụ mục tiêu tích cực nào cho khách hàng. Nhưng đừng chỉ nghe tôi nói điều đó – Cory Doctorow có một kho dữ liệu để hỗ trợ ý kiến ​​này mà bạn có thể trải qua để giải trí và kinh dị cho riêng mình. Hãy để một mình thực tế là có rất nhiều phần mềm độc hại được phân phối thông qua các mạng quảng cáo rằng đây phải là lý do duy nhất để chặn quảng cáo ở mọi nơi bạn có kết nối Internet đang hoạt động.

Tất cả những điều này có nghĩa là tôi sẽ cố gắng hết sức để chặn quảng cáo ở mọi nơi gần tôi – Nguồn gốc uBlock TRÊN Firefox là điều bắt buộc trên tất cả các thiết bị gia đình của chúng tôi. Thật không may, các trình duyệt dựa trên Chrome và Chrome đang đi đúng hướng khả năng chặn quảng cáo đầu gối với Manifest V3, vì vậy Firefox vẫn là lựa chọn khả thi duy nhất có thể đầy đủ bật tính năng chặn quảng cáo bằng các điều khiển động thích hợp. Tiêu điểm của Firefox trên thiết bị di động là một cách tuyệt vời để duyệt web theo cách bảo vệ quyền riêng tư hơn một chút vì nó chặn khá nhiều trình theo dõi. Và tất nhiên, tôi đã nói chuyện trên blog này về suy nghĩ của tôi mỗi hộ gia đình nên thử sử dụng Pi-hole để chặn lưu lượng truy cập đi không mong muốn ở cấp độ DNS. Nhưng tôi lạc đề.

Một điều mà các công cụ tôi đã đề cập ở trên không giúp đỡ với là quảng cáo được nhúng trực tiếp vào các trải nghiệm như cửa hàng ứng dụng dành cho thiết bị di động. Nếu bạn có một thiết bị di động được sản xuất sau năm 2010, bạn có thể đã sử dụng một thiết bị này nhiều lần để cài đặt bất kỳ ứng dụng nào bạn cần cho công việc và cuộc sống cá nhân của mình. Đối với Android, đó là Play Store và đối với Apple – App Store. Điều này dẫn tôi đến chủ đề của bài đăng này và tại sao các quảng cáo ở đó không vô hại như bạn nghĩ.

Lễ tạ ơn sắp đến ở Hoa Kỳ, khi chúng ta quây quần bên bàn ăn với người thân của mình và thường (nếu bạn giống tôi), chúng ta sẽ thực hiện một số hỗ trợ CNTT khi ở đó – dọn dẹp PC khỏi phần mềm quảng cáo, thiết lập cho gia đình chúng ta một quản lý mật khẩu và thậm chí cố gắng yêu cầu họ sử dụng xác thực hai yếu tố. Sử dụng những điều trên làm hướng dẫn bắt đầu về cách đảm bảo họ làm đúng.

Đây không phải là droids bạn đang tìm kiếm #

Hôm nọ, tôi đang hướng dẫn một người thân của mình quy trình kích hoạt xác thực hai yếu tố cho tài khoản của họ và tôi muốn họ sử dụng ứng dụng xác thực thay vì SMS (bạn nên không bao giờ sử dụng trừ khi không còn lựa chọn nào khác). Khuyến nghị của tôi là sử dụng Trình xác thực của Microsoft.

Cuộc trò chuyện đã diễn ra như thế này:

Tôi: “Truy cập Cửa hàng Play và tìm kiếm Authenticator.”

Họ: “Được rồi… được rồi, tôi thấy một vài cái, tôi nên chọn cái nào?”

Tôi: “Sử dụng Microsoft Authenticator.”

Họ: “Ồ, nhưng tôi thấy có hai. Tôi nên sử dụng cái nào?”

Tôi: “Cái của Microsoft – nó phải là cái chính thức.”

Họ: “Có hai cái từ Microsoft.”

Lúc đó tôi bảo họ dừng lại và gửi cho tôi ảnh chụp màn hình – “Đừng cài đặt bất cứ thứ gì ngay bây giờ,Tôi lảng vảng. Khi ảnh chụp màn hình xuất hiện, lạ thay, đây là những gì tôi thấy:

Phản ứng đầu tiên của tôi là “Ôi cứu tôi Jeebusđây có phải là sự thật không?” Tôi tự coi mình là người thành thạo về mặt công nghệ, nhưng ngay cả tôi cũng bị mất cảnh giác ở đây.

Với con mắt chưa được huấn luyện, bạn có thể dễ dàng nhận ra đâu là thực tế Ứng dụng Microsoft Authenticator? Nếu câu trả lời của bạn là “Tất nhiên, cái có tên Microsoft Authenticator và được liệt kê là do Microsoft Corporation phát triển và bạn phải xem số lượt tải xuống” – xin chúc mừng, bạn làm việc trong lĩnh vực công nghệ. Không một người bình thường nào có thể dễ dàng rút ra được sự khác biệt đó, và người họ hàng nói trên hầu hết cài đặt sai ứng dụng.

Bây giờ, tôi không muốn đưa ra bất kỳ kết luận nào về tác dụng của bất kỳ ứng dụng nào trong số này với thông tin xác thực của bạn. Tuy nhiên, tôi không thực sự lạc quan. Ngay cả khi không cài đặt ứng dụng, cờ đỏ vẫn bắt đầu bay khi bạn mở mô tả:

“Chứa quảng cáo” Và “Mua hàng trong ứng dụng” không phải là bằng chứng chính xác để minh oan cho nỗ lực chứng minh rằng đây không phải là nỗ lực của những kẻ vô đạo đức nhằm lừa dối mọi người và kiếm tiền nhanh chóng. Chúng ta hãy xem các đánh giá.

Có vẻ như đây không hẳn là một trải nghiệm xuất sắc về tổng thể – khá nhiều đánh giá 1 sao. Nhưng cũng có điều gì đó đáng ngờ nổi bật về các đánh giá 5 sao. Nhiều ứng dụng rất chung chung, nhưng nhiều người khác lại khen ngợi ứng dụng này vì khả năng “hoàn tiền nhanh chóng”.

Vì vậy, điều này rõ ràng là không bình thường – ngay cả những đánh giá được xếp hạng cao nhất cũng nói về việc hoàn tiền là động lực để họ xếp hạng. Còn những cái 1 sao thì sao?

Vì vậy, đây là chắc chắn nhất một ứng dụng lừa đảo đang nhắm đến những người không biết sự khác biệt giữa ứng dụng chính thức và không chính thức, sau đó tính phí những người đó phí thuê bao vô lý.

Là một phần thưởng bổ sung, các ứng dụng này có ID ứng dụng rất “nghẹt thở từ khóa”:

authenticator.app.otp.mfa.authentication
com.authenticator.twofactor.otp.passwordmanager.multifactor

Ai đó đã lấy một trang từ các sách hướng dẫn SEO truyền thống và cố gắng nhét càng nhiều cụm từ tìm kiếm vào chính tên gói.

Và thành thật mà nói, đây không chỉ là vấn đề của Google Play Store. Tìm kiếm “trình xác thực” trên iOS cho thấy điều này:

Ồ, tất cả đều có 11 nghìn lượt đánh giá và xếp hạng 5 sao xuất sắc. Có thể dự đoán được, ứng dụng này thực hiện chính xác điều tương tự như ứng dụng tôi đã ghi lại ở trên dành cho Android – mặc dù có vẻ như là một nhà phát triển khác, nhưng nó vẫn buộc mọi người đăng ký mà sau đó họ phải hủy bằng cách gửi email cho một số địa chỉ email chung chung sơ sài trên một dịch vụ email công cộng.

Những ứng dụng này không chỉ rõ ràng đang lừa dối khách hàng mà còn cả Google và Apple đều thu lợi nhuận từ họ – chúng đang hiển thị trong các phần được tài trợ của các cửa hàng ứng dụng tương ứng, nghĩa là cả hai công ty đều được trả tiền để đặt quảng cáo ở đó. Mà, này – một lời nhắc nhở tốt rằng chỉ vì một ứng dụng đã trải qua quá trình đánh giá của cửa hàng không có nghĩa là ứng dụng đó an toàn.

Ý tôi là, hãy nhìn vào các logo – tất cả chúng đều được thiết kế để bắt chước Microsoft Authenticator và Google Authenticator càng giống càng tốt, chỉ chờ đợi để vồ lấy những thứ chưa đủ gần và cài đặt ứng dụng. Tôi có thể nói với bạn ngay bây giờ rằng người họ hàng mà tôi đang nói chuyện cùng đã cài đặt sai ứng dụng chỉ trong vài giây và thậm chí sẽ không nhận thấy điều gì đó không ổn cho đến khi tháng sau này, nếu có.

Vấn đề lớn là gì #

Người ta có thể nghĩ rằng ứng dụng hai yếu tố là một ứng dụng hai yếu tố, ai quan tâm liệu nó có tính phí mọi thứ hay không. Trước hết – đó là một trò lừa đảo vì không có ứng dụng xác thực hợp pháp nào tính phí cho các tính năng của nó. Không có ứng dụng nào tôi đã xem xét cung cấp bất kỳ thứ gì mà bạn sẽ không nhận được từ các ứng dụng xác thực có uy tín đáng để mất tiền. Không chỉ vậy, mức phí còn cắt cổ, vì vậy đây là một chiêu trò giật tiền nhằm vào những cá nhân không hiểu rõ hơn.

Thứ hai, và vấn đề lớn nhất là bạn không biết điều gì xảy ra với mã hai yếu tố của mình. Trong khi tôi không biết điều đó hai ứng dụng tôi đã xem độc hại ở bất kỳ khía cạnh nào ngoài việc cố gắng lừa đảo mọi người để lấy phí đăng ký, bất kỳ ai có quyền truy cập vào mã một lần của bạn cũng có thể truy cập vào tài khoản của bạn nếu họ tìm thấy mật khẩu của bạn (ngày nay, điều này rất dễ xảy ra do tất cả các rò rỉ ) hoặc thông tin nhận dạng khác có thể giúp đặt lại quyền truy cập tài khoản của bạn.

Cuối cùng và không kém phần quan trọng – bạn không biết điều gì sẽ xảy ra với dữ liệu do các ứng dụng này quản lý. Bạn đã đưa ra một cái nhìn toàn diện về những tài khoản bạn đang bảo vệ. Nhà phát triển đằng sau những ứng dụng này có thể tìm hiểu địa chỉ email của bạn, ngân hàng của bạn là gì, nơi bạn mua hàng trực tuyến, v.v. Đặc biệt thấy rằng ứng dụng iOS cố gắng trở thành một ứng dụng “tổng hợp” cho tất cả mọi thứ, chẳng hạn như “duyệt web riêng tư” hoặc “quét WiFi” (bất kể điều đó có nghĩa là gì).

Bạn nên làm gì #

Chỉ cài đặt các trình xác thực có uy tín #

Cá nhân tôi có thể khuyên bạn nên cài đặt một trong những uy tín ứng dụng xác thực – Trình xác thực của Microsoft Và Trình xác thực Google.

Thông thường, tôi cũng sẽ xem xét Authy nhưng tôi thực lòng không thể giới thiệu nó vì họ đã vi phạm vào đầu năm nay nơi họ tiết lộ số điện thoại của khách hàng thông qua điểm cuối API không được xác thực – khoảng cách về quyền riêng tư mà đối với cá nhân tôi là không thể chấp nhận được đối với người xác thực.

Gửi liên kết, không phải cụm từ tìm kiếm #

Để đảm bảo rằng người thân, bạn bè và gia đình của bạn tải xuống hợp pháp các ứng dụng, thay vì dựa vào việc họ tìm kiếm ứng dụng trong bất kỳ cửa hàng nào họ sử dụng, hãy yêu cầu họ tải xuống chính xác ứng dụng họ cần. Dưới đây là các liên kết mà bạn có thể sử dụng để trỏ chúng tới, được trích xuất từ ​​các trang web chính thức (nhưng đừng tin tôi – hãy tự kiểm tra chúng).

Trình xác thực của Microsoft #

🤖 Android:

https://play.google.com/store/apps/details?id=com.azure.authenticator

🍎 iOS:

https://apps.apple.com/us/app/microsoft-authenticator/id983156458

Trình xác thực Google #

🤖 Android:

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

🍎 iOS:

https://apps.apple.com/app/google-authenticator/id388497605

Không bao giờ trả tiền cho các ứng dụng xác thực #

Ở đó thực sự không bao giờ là lý do để trả tiền cho một ứng dụng xác thực trường hợp sử dụng thông thường. Nếu ứng dụng yêu cầu thanh toán thì bạn đã cài đặt ứng dụng lừa đảo. Đảm bảo thiết lập tài khoản của bạn với trình xác thực uy tín được đề cập ở trên (để đảm bảo bạn không bị khóa), xóa tài khoản của bạn khỏi bất kỳ ứng dụng trả phí nào bạn đã sử dụng và xóa tài khoản đó khỏi thiết bị của bạn.

Google và Apple nên làm gì #

Toàn bộ vấn đề này bắt đầu từ việc cả Google và Apple đều không bảo vệ được khách hàng của họ khỏi các ứng dụng lừa đảo.

Một sự xem xét sơ lược về hình tượng học Và mô tả ứng dụng nên ngay lập tức ném cờ đỏ cho bất kỳ ai đang thực hiện đánh giá ứng dụng, điều này dường như gần đây quá lỗ mãng đến mức bạn không thể xuất bản ứng dụng máy ảnh mà không giải thích lý do bạn cần sử dụng máy ảnh. Nếu ai đó đề cập đến “Microsoft Authenticator” làm “tiêu đề” ứng dụng của họ và trên thực tế, chúng không được Microsoft xuất bản, tại sao không có sự từ chối ngay lập tức?

Trong trường hợp của Android, thật buồn cười khi thấy một số ứng dụng xác thực muốn trở thành khác gần như đã loại bỏ hoàn toàn biểu tượng Google Authenticator chính thức (trước khi nó thay đổi) Và vẫn vượt qua được quá trình xem xét.

Mọi người – bạn cần xem lại nội dung này tốt hơn để bảo vệ khách hàng của mình. Tôi không lo lắng về việc ứng dụng nhảy ra khỏi hộp cát và làm điều gì đó với thiết bị của tôi hoặc gia đình tôi. Nội dung đó đã bị khóa khá nhiều và “thông tin dinh dưỡng trong ứng dụng” là một tín hiệu tuyệt vời về việc liệu thứ gì đó có thể không được cấp phép hay không. Tuy nhiên, tôi lo lắng về việc những ứng dụng như thế này vừa là công cụ hút tiền vừa là vật trung gian cho các cuộc tấn công danh tính khác bắt nguồn từ việc có quyền truy cập trực tiếp vào một số tạo tác được thèm muốn nhất mà những kẻ độc hại nóng lòng muốn có được.