近日,一份来自KrebsOnSecurity的报告指出,利用苹果密码重置功能似乎存在的漏洞的网络钓鱼攻击变得越来越普遍。多名苹果用户成为攻击目标,他们接连不断地收到通知或多重身份验证(MFA)消息,企图让他们批准一个苹果ID密码更改请求。
攻击者能够使目标的iPhone、Apple Watch或Mac一次又一次地显示系统级密码更改批准文本,希望被攻击者误点击批准请求,或者厌倦了通知而点击接受按钮。如果请求被批准,攻击者就能够更改苹果ID密码并锁定苹果用户的帐户。
由于密码请求针对的是苹果ID,它们会在用户的所有设备上弹出。这些通知会导致所有关联的苹果产品无法使用,直到在每个设备上逐个解除弹出窗口。Twitter用户Parth Patel最近分享了他被这种攻击攻击的经历,他表示在点击了100多个通知的“不允许”之前,他无法使用他的设备。
当攻击者无法让被害人点击密码更改通知上的“允许”时,目标通常会接到似乎来自苹果的电话。在这些电话中,攻击者声称知道受害者正遭受攻击,并试图获取在尝试更改密码时发送到用户手机的一次性密码。
在Patel的案例中,攻击者使用了从人员搜索网站泄露的信息,包括姓名、当前地址、过去的地址和电话号码,为试图访问他的帐户的人提供了充分的信息。攻击者恰好把他的名字搞错了,他也因为被要求提供一次性代码而感到可疑,而苹果明确在一条消息中发送该代码,说明苹果不会要求提供这些代码。
这种攻击似乎依赖于攻击者可以访问与苹果ID关联的电子邮件地址和电话号码。
KrebsOnSecurity对此进行了调查,并发现攻击者似乎在利用苹果忘记苹果ID密码的页面。该页面需要用户的苹果ID电子邮件或电话号码,并包含一个CAPTCHA。当输入电子邮件地址后,页面会显示与苹果帐户关联的电话号码的最后两位数字,填写缺失的数字并点击提交会发送一个系统警报。
目前尚不清楚攻击者如何滥用系统向苹果用户发送多条消息,但似乎是在利用一个被利用的漏洞。苹果的系统不太可能被设计成能够发送超过100个请求,因此很可能是绕过了速率限制。
受到这种攻击威胁的苹果设备所有者应该确保在所有请求上点击“不允许”,并且应该注意到苹果不会通过电话要求一次性密码重置代码。
本文来自投稿,不代表TePhone特锋手机网立场,如若转载,请注明出处:https://www.tephone.com/article/18028
