蘋果設備用戶面臨新的威脅。透過利用未知漏洞,網路犯罪分子試圖控制 iPhone、iPad、Apple Watch 或 Mac 用戶的 Apple 帳戶。受害者報告稱,他們的設備上不斷出現大量通知以及虛假客戶支援的干預。
網路犯罪分子目前正在瞄準 Apple 產品的用戶。網路安全專家布萊恩·克雷布斯 (Brian Krebs) 引用幾位受影響客戶的證詞,揭示了一種新型網路釣魚攻擊的存在。網路攻擊依賴密碼重置功能的缺陷蘋果ID。此選項允許使用者在忘記密碼時重新獲得其 Apple 帳戶的存取權限。例如,他們可以回答安全問題、透過電子郵件接收代碼或使用雙重認證來重設密碼。
數百條通知
透過利用此漏洞,網路犯罪分子將轟炸設備來自受害者的“數十個系統請求,這些請求阻止設備被使用,直到接收者響應‘允許’或‘不允許’。”這些多重身份驗證 (MFA) 請求要求使用者批准密碼變更。蘋果習慣於向其客戶的設備發送驗證碼,以防止未經授權的存取。
「我所有的裝置都開始爆炸,我的手錶、我的筆記型電腦和我的手機。就像蘋果發出的系統通知,批准[帳戶密碼重置],但我無法用手機做任何其他事情。我必須經歷這一切並拒絕 100 多個通知”,證明使用者是攻擊的目標。
毫不奇怪,網路犯罪分子希望因大量請求而煩惱的受害者最終會批准密碼更改,無論是在 Mac、iPad、iPhone 還是 Apple Watch 上。從此,海盜們獲得了存取蘋果帳戶他們在您不知情的情況下更改了其密碼。透過這種策略,攻擊者可以繞過蘋果設定的額外安全層。操作結束後,用戶將被從其帳戶中逐出。
「即使我將 Apple Watch 設定為在晚上保持靜音 [...],它還是會透過以下警報之一將我吵醒。謝天謝地,我沒有按“允許”,這是我手錶上顯示的第一個選項””,另一名遭到駭客攻擊的用戶解釋道。
虛假客戶支持
如果用戶拒絕所有 MFA 請求,駭客就會假裝是客戶支持來自蘋果。他們將透過電話聯繫用戶,聲稱正在對針對某些用戶的電腦攻擊做出反應。在通話過程中,駭客冒充員工,了解受害者在其裝置上遇到的問題。然後,它會要求用戶啟動透過簡訊發送安全代碼。然後,網路犯罪分子將請求透過簡訊發送給用戶的臨時代碼來重置密碼。
為了愚弄他們的目標,網路犯罪分子使用個人資料受損,可在互聯網上自由訪問,例如姓名、當前地址、以前的地址和電話號碼。正是有了這些訊息,網路攻擊才成為可能。您只需提供電子郵件地址和電話號碼即可申請新的 Apple ID 密碼。同樣,正是這些個人資料使得虛假客戶支援能夠欺騙受害者。
目前,駭客如何利用Apple ID密碼重設功能來策劃攻擊的細節仍不清楚。網路犯罪分子似乎發現了一個仍然未知的漏洞。
來源 : 布萊恩·克雷布斯
