近期,苹果用户成为了一项旨在接管其所有设备的新攻击的目标。
攻击细节
根据KrebsOnSecurity的报道,许多用户抱怨遭受了一种网络钓鱼攻击,该攻击导致苹果设备显示大量恼人的系统级提示。这些提示使设备无法使用,直到用户对每个提示选择“允许”或“不允许”。
攻击手法
攻击者可能利用了苹果密码重置机制中的漏洞,但目前尚无法确定。显然,攻击者希望用户在不断的密码重置请求后,迟早会点击“允许”,无论是自愿还是错误触发。
伪装苹果号码
如果上述方法不奏效,攻击者将从看起来像是苹果号码的号码拨打给受害者,因为他们伪造了该号码。然后,他们会告诉受害者他们的账户受到攻击,苹果需要他们“验证”一次性代码。
受害者经历
一位名叫Parth Patel的目标表示,他收到了多个要求在手表、手机和笔记本电脑上批准密码更改的请求。在他拒绝了所有请求后,攻击者从1-800-275-2273的苹果支持号码打来电话。他们几乎了解他的一切,但出于某种运气,他们把他的真名搞错了。如果Patel提供了一次性密码,他可能会丢失对他的账户和数据的访问权限。
另一位受害者的经历
另一位名叫Chris的用户在二月份经历了类似的事情。他收到了30个同时的通知,并拒绝了所有请求,但攻击尝试在随后的几天里继续进行。然后,他接到了攻击者的电话,声称自己是苹果公司的员工,但Chris表示他会回拨。然后,他拨打了苹果的电话号码,并被告知没有人给他打电话。
结语
这些攻击事件令人震惊,因为苹果的认证系统允许任何人在短时间内向设备发送大量的密码更改请求,尤其是当最初的请求没有得到回应时。苹果的系统可能存在漏洞,但公司迄今为止对这些攻击没有做出任何回应。
本文来自投稿,不代表TePhone特锋手机网立场,如若转载,请注明出处:https://www.tephone.com/article/18563
