根据KrebsOnSecurity的一份报告,利用苹果公司密码重置功能中的一个似乎是漏洞的钓鱼攻击变得越来越普遍。多位苹果用户成为了攻击目标,这些攻击会向他们发送无休止的通知或多因素验证(MFA)信息,试图让他们批准更改Apple ID密码。
*NDLGdQqz u!nt0hS 攻击者可以让目标用户的iPhone、Apple Watch或Mac一遍又一遍地显示系统级密码更改批准文本,希望目标用户错误地批准请求,或者厌倦这些通知并点击接受按钮。如果请求被批准,攻击者就能更改Apple ID密码并锁定苹果用户的账户。
O(/K@e 5jy>)WqK 由于密码请求以Apple ID为目标,因此会在用户的所有设备上弹出。这些通知会导致所有链接的苹果产品无法使用,直到每个设备上的弹出窗口被逐个删除。Twitter用户帕特尔(Parth Patel)最近分享了他被攻击的经历,他说在点击100多个通知的"不允许"之前,他无法使用自己的设备。
I|9e4EX{y sj. eJX"z 当攻击者无法让用户点击密码更改通知上的"允许"时,目标通常会接到看似来自苹果公司的电话。在这些电话中,攻击者声称知道受害者正在遭受攻击,并试图获取一次性密码,该密码会在试图更改密码时发送到用户的电话号码上。
&.<{c
`- 5qG7LO. 在帕特尔的案例中,攻击者使用的是一个人肉搜索网站泄露的信息,其中包括姓名、当前地址、过去地址和电话号码,这让试图访问他账户的人有了充足的信息依据。攻击者碰巧弄错了自己的姓名,而且他还因为被要求提供苹果公司明确发送的一次性代码而产生了怀疑,因为苹果公司在发送信息时确认不会要求提供这些代码。
wC=IN ?b8NEVjw 这种攻击似乎取决于作案者能否访问与Apple ID相关联的电子邮件地址和电话号码。
<