Обновление четыре месяца спустя: поддельное приложение Microsoft Authenticator каким-то образом пережило отбраковку, но было окончательно удалили в июне …

Обновление: Apple удалила большинство мошеннических приложений для проверки подлинности из App Store — см. конец статьи.

Последний шаг Twitter привел к шквалу мошеннических приложений-аутентификаторов, причем по крайней мере одно из них использует рекламу App Store, чтобы занимать видное место в результатах поиска, а затем отправляет все отсканированные QR-коды в службу аналитики разработчика.

Есть целый ряд других, которые кажутся бесплатными, но затем требуют покупок в приложении, чтобы сканировать QR-коды…

Twitter подогревает интерес к аутентификаторам

На прошлой неделе Twitter выступил с блестящей идеей продавать безопасность учетной записи как платную услугу, поставив двухфакторную аутентификацию на основе SMS (2FA) за платным доступом Twitter Blue.

С 20 марта Twitter начнет требовать Twitter Blue для использования двухфакторной аутентификации через SMS. Изменение, официально объявленное сегодня, безусловно, является важным шагом. Twitter говорит, что он просто отключит двухфакторную аутентификацию для всех, кто все еще использует SMS-ключи и не платит за Blue по состоянию на 20 марта.

Никаких призов за угадывание, чья это была идея.

По общему признанию, SMS 2FA ужасен, делая все ваши защищенные учетные записи уязвимыми для атак с подменой SIM-карты. Если бы Twitter просто отказался от поддержки этого и попросил бы всех использовать приложение для аутентификации, это было бы одно. Вместо этого Twitter создает впечатление, что SMS — это премиальный вариант, взимая за это плату.

Мошеннические приложения для проверки подлинности

Это создало прекрасную возможность для мошеннических приложений-аутентификаторов отделить нетехнических специалистов от их денег или даже от их счетов.

Разработчик и исследователь безопасности Мыск быстро заметил целая куча подозрительно похожих приложений, каждое из которых требует покупки подписки в приложении для сканирования QR-кодов.

Вневременное искусство аутентификаторов! Все эти приложения для аутентификации бесплатны и предлагают покупки внутри приложения. Вы устанавливаете их, чтобы обнаружить, что вы не можете сканировать QR-код, пока не подпишетесь, 40 долларов в год с 3-дневной бесплатной пробной версией. Приложения очень похожи.

Он быстро смог найти дюжину таких приложений (изображение выше) и спросил, почему они не были замечены в обзоре приложений.

App Store должен что-то сделать с этими приложениями. Похоже, существует какое-то белое приложение, которое мошенники покупают, переименовывают и развертывают на @Магазин приложений. Любой средний пользователь может заметить поразительное сходство между ними. Почему команда проверки приложений этого не заметила?

По крайней мере, один из них пытается заставить вас подписаться, даже если вы коснетесь окна закрытия.

Позвольте мне показать вам кое-что интересное. Это приложение было выпущено 19 февраля 2023 г. и занимает 5-е место в категории «приложение для аутентификации» в американском App Store. Как видно из видео, как только вы нажмете «X», чтобы закрыть платный доступ, вы получите подтверждение подписки. pic.twitter.com/JI7XBcAy1s

— Кевин Арчер (@IM_Kevin_Archer) 21 февраля 2023 г.

Одно мошенническое приложение даже захватывает ваши QR-коды. Вам не нужно много искать: разработчик разместил рекламу в App Store, что означает, что она будет заметно отображаться при поиске приложений для проверки подлинности.

Вы должны быть осторожны при поиске приложения для аутентификации. Это приложение отправляет отсканированные QR-коды в службу аналитики #Google разработчика. Вы не пропустите это. Запускает рекламную кампанию в #AppStore

Безопасные приложения для аутентификации

На iOS теперь можно использовать встроенную поддержку 2FA. В качестве альтернативы Google Authenticator является выбором по умолчанию, и Майск говорит, что не нашел причин не использовать его.

Недавно мы подробно рассказали, как использовать его для Twitter.

Apple удалила мошеннические приложения

Mysk сообщает, что Apple удалила приложения, о которых сообщила компания.

Обновление: Apple удалила мошеннические приложения для проверки подлинности из App Store — см. конец статьи.

Последний шаг Twitter привел к шквалу мошеннических приложений-аутентификаторов, причем по крайней мере одно из них использует рекламу App Store, чтобы занимать видное место в результатах поиска, а затем отправляет все отсканированные QR-коды в службу аналитики разработчика.

Есть целый ряд других, которые кажутся бесплатными, но затем требуют покупок в приложении, чтобы сканировать QR-коды…

Twitter подогревает интерес к аутентификаторам

На прошлой неделе Twitter выступил с блестящей идеей продавать безопасность учетной записи как платную услугу, поставив двухфакторную аутентификацию на основе SMS (2FA) за платным доступом Twitter Blue.

С 20 марта Twitter начнет требовать Twitter Blue для использования двухфакторной аутентификации через SMS. Изменение, официально объявленное сегодня, безусловно, является важным шагом. Twitter говорит, что он просто отключит двухфакторную аутентификацию для всех, кто все еще использует SMS-ключи и не платит за Blue по состоянию на 20 марта.

Никаких призов за угадывание, чья это была идея.

По общему признанию, SMS 2FA ужасен, делая все ваши защищенные учетные записи уязвимыми для атак с подменой SIM-карты. Если бы Twitter просто отказался от поддержки этого и попросил бы всех использовать приложение для аутентификации, это было бы одно. Вместо этого Twitter создает впечатление, что SMS — это премиальный вариант, взимая за это плату.

Мошеннические приложения для проверки подлинности

Это создало прекрасную возможность для мошеннических приложений-аутентификаторов отделить нетехнических специалистов от их денег или даже от их счетов.

Разработчик и исследователь безопасности Мыск быстро заметил целая куча подозрительно похожих приложений, каждое из которых требует покупки подписки в приложении для сканирования QR-кодов.

Вневременное искусство аутентификаторов! Все эти приложения для проверки подлинности бесплатны и предлагают покупки в приложении. Вы устанавливаете их, чтобы обнаружить, что вы не можете сканировать QR-код, пока не подпишетесь, 40 долларов в год с 3-дневной бесплатной пробной версией. Приложения очень похожи.

Он быстро смог найти дюжину таких приложений (изображение выше) и спросил, почему они не были замечены в обзоре приложений.

App Store должен что-то сделать с этими приложениями. Похоже, существует какое-то белое приложение, которое мошенники покупают, переименовывают и развертывают на @Магазин приложений. Любой средний пользователь может заметить поразительное сходство между ними. Почему команда проверки приложений этого не заметила?

По крайней мере, один из них пытается заставить вас подписаться, даже если вы коснетесь окна закрытия.

Позвольте мне показать вам кое-что интересное. Это приложение было выпущено 19 февраля 2023 г. и занимает 5-е место в категории «приложение для аутентификации» в американском App Store. Как видно из видео, как только вы нажмете «X», чтобы закрыть платный доступ, вы получите подтверждение подписки. pic.twitter.com/JI7XBcAy1s

— Кевин Арчер (@IM_Kevin_Archer) 21 февраля 2023 г.

Одно мошенническое приложение даже захватывает ваши QR-коды. Вам не нужно искать его очень усердно: разработчик разместил рекламу в App Store, что означает, что она отображается на видном месте при поиске приложений для аутентификации.

Вы должны быть осторожны при поиске приложения для аутентификации. Это приложение отправляет отсканированные QR-коды в службу аналитики #Google разработчика. Вы не пропустите это. Запускает рекламную кампанию в #AppStore

Безопасные приложения для аутентификации

На iOS теперь можно использовать встроенную поддержку 2FA. В качестве альтернативы Google Authenticator является выбором по умолчанию, и Майск говорит, что не нашел причин не использовать его.

Недавно мы подробно рассказали, как использовать его для Twitter.

Apple удалила мошеннические приложения

Mysk сообщает, что Apple удалила приложения, о которых сообщила компания.

Последний шаг Twitter привел к шквалу мошеннических приложений-аутентификаторов, причем по крайней мере одно из них использует рекламу App Store, чтобы занимать видное место в результатах поиска, а затем отправляет все отсканированные QR-коды в службу аналитики разработчика.

Есть целый ряд других, которые кажутся бесплатными, но затем требуют покупок в приложении, чтобы сканировать QR-коды…

Twitter подогревает интерес к аутентификаторам

На прошлой неделе Twitter выступил с блестящей идеей продавать безопасность учетной записи как платную услугу, поставив двухфакторную аутентификацию на основе SMS (2FA) за платным доступом Twitter Blue.

С 20 марта Twitter начнет требовать Twitter Blue для использования двухфакторной аутентификации через SMS. Изменение, официально объявленное сегодня, безусловно, является важным шагом. Twitter говорит, что он просто отключит двухфакторную аутентификацию для всех, кто все еще использует SMS-ключи и не платит за Blue по состоянию на 20 марта.

Никаких призов за угадывание, чья это была идея.

По общему признанию, SMS 2FA ужасен, делая все ваши защищенные учетные записи уязвимыми для атак с подменой SIM-карты. Если бы Twitter просто отказался от поддержки этого и попросил бы всех использовать приложение для аутентификации, это было бы одно. Вместо этого Twitter создает впечатление, что SMS — это премиальный вариант, взимая за это плату.

Мошеннические приложения для проверки подлинности

Это создало прекрасную возможность для мошеннических приложений-аутентификаторов отделить нетехнических специалистов от их денег или даже от их счетов.

Разработчик и исследователь безопасности Мыск быстро заметил целая куча подозрительно похожих приложений, каждое из которых требует покупки подписки в приложении для сканирования QR-кодов.

Вневременное искусство аутентификаторов! Все эти приложения для проверки подлинности бесплатны и предлагают покупки в приложении. Вы устанавливаете их, чтобы обнаружить, что вы не можете сканировать QR-код, пока не подпишетесь, 40 долларов в год с 3-дневной бесплатной пробной версией. Приложения очень похожи.

Он быстро смог найти дюжину таких приложений (изображение выше) и спросил, почему они не были замечены в обзоре приложений.

App Store должен что-то сделать с этими приложениями. Похоже, существует какое-то белое приложение, которое мошенники покупают, переименовывают и развертывают на @Магазин приложений. Любой средний пользователь может заметить поразительное сходство между ними. Почему команда проверки приложений этого не заметила?

По крайней мере, один из них пытается заставить вас подписаться, даже если вы коснетесь окна закрытия.

Позвольте мне показать вам кое-что интересное. Это приложение было выпущено 19 февраля 2023 г. и занимает 5-е место в категории «приложение для аутентификации» в американском App Store. Как видно из видео, как только вы нажмете «X», чтобы закрыть платный доступ, вы получите подтверждение подписки. pic.twitter.com/JI7XBcAy1s

— Кевин Арчер (@IM_Kevin_Archer) 21 февраля 2023 г.

Одно мошенническое приложение даже захватывает ваши QR-коды. Вам не нужно искать его очень усердно: разработчик разместил рекламу в App Store, что означает, что она отображается на видном месте при поиске приложений для аутентификации.

Вы должны быть осторожны при поиске приложения для аутентификации. Это приложение отправляет отсканированные QR-коды в службу аналитики #Google разработчика. Вы не пропустите это. Запускает рекламную кампанию в #AppStore

Безопасные приложения для аутентификации

На iOS теперь можно использовать встроенную поддержку 2FA. В качестве альтернативы Google Authenticator является выбором по умолчанию, и Майск говорит, что не нашел причин не использовать его.

Недавно мы подробно рассказали, как использовать его для Twitter.