تکمیل خودکار کدهای احراز هویت دو مرحله ای (2FA) که از طریق پیامک تحویل داده می شوند، یک ویژگی راحت آیفون است. با این حال، اپل شروع به درخواست از شرکت ها برای ارسال کدهای 2FA در قالب ایمن تر به نفع شما کرده است.

کلاهبرداران فیشینگ به اعتبار مرتبط با سیستم تکمیل خودکار اپل متکی هستند. وقتی قربانی روی پیوند مخرب سایتی کلیک می‌کند که کد پیامکی تولید می‌کند، تکمیل خودکار در آیفون پیشنهاد می‌کند آن را برای شما جای‌گذاری کند و این حمله را برای قربانی بی‌احتیاط معتبر می‌کند.

اقدام متقابل پیشنهادی اپل از شرکت‌ها می‌خواهد که کدهای پیامکی را در قالبی امن ارسال کنند تا آیفون تنها در صورت مطابقت دامنه‌ها، کد را به‌طور خودکار پر کند. بنابراین، اگر کلاهبرداران فیشینگ به دنبال کدهای 2FA برای یک وب سایت باشند، آیفون گزینه تکمیل خودکار را ارائه نمی دهد، اما کد از وب سایت دیگری تولید می شود. قالب جدید اس ام اس به صورت زیر است:

«کد Apple ID شما: 123456 است. آن را با کسی به اشتراک نگذارید.
@ apple.com # 123456% apple.com ”

پیام به گونه ای ساختار یافته است که خط اول حاوی کد است و می تواند توسط یک انسان آماده باشد. خط زیر حاوی دامنه scoped است که قبل از آن علامت “@”، کد قبل از “#” و منبع iframe با “%” قرار دارد. iframe یا فریم درون خطی یک عنصر HTML است که برای جاسازی سند دیگری در سند HTML فعلی استفاده می شود.

سیستم جدید اپل دارای معایبی است. اگر آیفون تکمیل خودکار کد مخرب 2FA را ارائه ندهد، ممکن است برای قربانی فیشینگ پرچم قرمز کافی نباشد. آنها ممکن است بر اساس درخواست مهاجمان فقط کد را به صورت دستی وارد کنند. علاوه بر این، این سیستم به شرکت هایی متکی است که مایل به پذیرش استاندارد جدید اپل برای ارسال کدهای 2FA هستند.

با در نظر گرفتن همه چیز، هنوز یک گام در مسیر درست است. اکنون، اگر کد 2FA دریافت کرده اید و در فرمت اپل است که در بالا توضیح داده شد، اما آیفون شما امکان تکمیل خودکار آن را ندارد، احتمالاً تقلبی است. نظر شما در مورد سامانه پیامکی جدید چیست؟ نظرات خود را در بخش نظرات زیر با ما در میان بگذارید!

[Via Macworld]