根据KrebsOnSecurity的一份报告,利用苹果公司密码重置功能中的一个似乎是漏洞的钓鱼攻击变得越来越普遍。多位苹果用户成为了攻击目标,这些攻击会向他们发送无休止的通知或多因素验证(MFA)信息,试图让他们批准更改Apple ID密码。
`RLrT34 >.sN?5}y 攻击者可以让目标用户的iPhone、Apple Watch或Mac一遍又一遍地显示系统级密码更改批准文本,希望目标用户错误地批准请求,或者厌倦这些通知并点击接受按钮。如果请求被批准,攻击者就能更改Apple ID密码并锁定苹果用户的账户。
4C*=8oe_ <JuJ`t 由于密码请求以Apple ID为目标,因此会在用户的所有设备上弹出。这些通知会导致所有链接的苹果产品无法使用,直到每个设备上的弹出窗口被逐个删除。Twitter用户帕特尔(Parth Patel)最近分享了他被攻击的经历,他说在点击100多个通知的"不允许"之前,他无法使用自己的设备。
Q>Q}/{8! 8-#2?= 当攻击者无法让用户点击密码更改通知上的"允许"时,目标通常会接到看似来自苹果公司的电话。在这些电话中,攻击者声称知道受害者正在遭受攻击,并试图获取一次性密码,该密码会在试图更改密码时发送到用户的电话号码上。
\r&@3a.> \Xp"I5 在帕特尔的案例中,攻击者使用的是一个人肉搜索网站泄露的信息,其中包括姓名、当前地址、过去地址和电话号码,这让试图访问他账户的人有了充足的信息依据。攻击者碰巧弄错了自己的姓名,而且他还因为被要求提供苹果公司明确发送的一次性代码而产生了怀疑,因为苹果公司在发送信息时确认不会要求提供这些代码。
d|HM QxL
FN(d 这种攻击似乎取决于作案者能否访问与Apple ID相关联的电子邮件地址和电话号码。
+VFwYdW, soCHwiE KrebsOnSecurity对这一问题进行了调查,发现攻击者似乎在使用苹果公司的Apple ID忘记密码页面。该页面需要用户的Apple ID电子邮件或电话号码,并有一个验证码。当输入电子邮件地址时,页面会显示与苹果账户关联的电话号码的最后两位数字,输入缺失的数字并点击提交,系统就会发出警报。
c.> (/ "C|l3X' 目前还不清楚攻击者是如何滥用系统向苹果用户发送多条信息的,但这似乎是一个被利用的漏洞。苹果公司的系统不太可能被用来发送超过100个请求,因此很可能是设法绕过了限制。
+u)$o *XR~fs?/*W 受到此类攻击的苹果设备用户应确保点击"不允许"所有请求,并应注意苹果公司不会拨打电话来请求一次性密码重置。
YA8~O5