苹果设备用户面临新的威胁。通过利用未知漏洞,网络犯罪分子试图控制 iPhone、iPad、Apple Watch 或 Mac 用户的 Apple 帐户。受害者报告称,他们的设备上不断出现大量通知以及虚假客户支持的干预。
网络犯罪分子目前正在瞄准 Apple 产品的用户。网络安全专家布莱恩·克雷布斯 (Brian Krebs) 援引几位受影响客户的证词,揭示了一种新型网络钓鱼攻击的存在。网络攻击依赖于密码重置功能的缺陷苹果ID。此选项允许用户在忘记密码时重新获得其 Apple 帐户的访问权限。例如,他们可以回答安全问题、通过电子邮件接收代码或使用双因素身份验证来重置密码。
数百条通知
通过利用此漏洞,网络犯罪分子将轰炸设备来自受害者的“数十个系统请求,这些请求阻止设备被使用,直到接收者响应‘允许’或‘不允许’。”这些多重身份验证 (MFA) 请求要求用户批准密码更改。苹果习惯于向其客户的设备发送验证码,以防止未经授权的访问。
“我所有的设备都开始爆炸,我的手表、我的笔记本电脑和我的手机。就像苹果发出的系统通知,批准[帐户密码重置],但我无法用手机做任何其他事情。我必须经历这一切并拒绝 100 多个通知”,证明用户是攻击的目标。
毫不奇怪,网络犯罪分子希望因大量请求而烦恼的受害者最终会批准密码更改,无论是在 Mac、iPad、iPhone 还是 Apple Watch 上。从此,海盗们获得了访问苹果帐户他们在您不知情的情况下更改了其密码。通过这种策略,攻击者可以绕过苹果设置的额外安全层。操作结束后,用户将被从其帐户中逐出。
“即使我将 Apple Watch 设置为在晚上保持静音 [...],它还是会通过以下警报之一将我吵醒。谢天谢地,我没有按“允许”,这是我手表上显示的第一个选项””,另一名遭到黑客攻击的用户解释道。
虚假客户支持
如果用户拒绝所有 MFA 请求,黑客就会假装是客户支持来自苹果。他们将通过电话联系用户,声称正在对针对某些用户的计算机攻击做出反应。在通话过程中,黑客冒充一名员工,了解受害者在其设备上遇到的问题。然后,它会要求用户激活通过短信发送安全代码。然后,网络犯罪分子将请求通过短信发送给用户的临时代码来重置密码。
为了愚弄他们的目标,网络犯罪分子使用个人数据受损,可在互联网上自由访问,例如姓名、当前地址、以前的地址和电话号码。正是有了这些信息,网络攻击才成为可能。您只需提供电子邮件地址和电话号码即可申请新的 Apple ID 密码。同样,正是这些个人数据使得虚假客户支持能够欺骗受害者。
目前,黑客如何利用Apple ID密码重置功能来策划攻击的细节仍不清楚。网络犯罪分子似乎发现了一个仍然未知的漏洞。
来源 : 布赖恩·克雷布斯
