Jeden z najnowsze ataki na iPhone’a widzi, iż złośliwe strony nadużywają systemu resetowania hasła Apple ID, aby zalać użytkowników iOS monitami o przejęcie ich kont. Oto, jak możesz chronić się przed atakami polegającymi na resetowaniu hasła iPhone’a (często nazywanymi „bombardowaniem MFA”).
Niedawno słyszeliśmy o użytkownikach Apple celem zamachów bombowych MSZ (zwane także zmęczeniem MSZ lub bombardowaniem pchającym). Nie jest to nowy atak, ale może być przekonującym oszustwem, ponieważ przekazuje ofiarom oficjalne monity o zresetowanie hasła do systemu iOS.
Jak szczegółowo opisał Krebsa o bezpieczeństwie (przez Partha Patel), osoby atakujące wykorzystujące tę lukę prawdopodobnie robią to za pośrednictwem numeru telefonu użytkownika Apple, co może zbombardować Twój iPhone i inne urządzenia Apple dzięki ponad 100 monitów systemowych MFA (uwierzytelnianie wieloskładnikowe) o zresetowanie hasła Apple ID.
Aktualizacja 21.04.24: Nie widzieliśmy więcej „bombowych” przypadków tego ataku, odkąd Apple wprowadziło poprawkę pod koniec marca. Jednakże, A 9 do 5Mac Razem z kolegą z drużyny byliśmy świadkami ataku hasłem na nasze urządzenia Apple w ten weekend.
W moim przypadku otrzymałem monit o zresetowanie hasła na moim iPhonie i komputerze Mac. Na szczęście był to tylko jeden monit na każdym urządzeniu, więc gwałtownie odmówiono. Zachowajcie czujność i bezpieczeństwo!
Aktualizacja 28.03.24, 14:40 czasu pacyficznego: 9 do 5Mac słyszałem o tym problemie od rzecznika Apple. Firma wie o kilku niedawnych przypadkach takich ataków phishingowych i Apple podjął działania w celu rozwiązania problemu.
Jak chronić się przed atakami polegającymi na resetowaniu hasła do iPhone’a
- Upadek, upadek, upadek
- Ponieważ prośby o zresetowanie hasła są alertem na poziomie systemu, wydaje się to przekonujące – ale pamiętaj, aby dokonać wyboru „Nie zezwalaj” dla nich wszystkich
- Jednym ze sposobów, w jaki napastnicy męczą ofiary, jest bombardowanie ich setkami podpowiedzi, czasami w ciągu kilku dni – wybieraj dalej „Nie zezwalaj” i opcjonalnie wykonaj krok 3 poniżej
- Uwaga: jeżeli w Internecie zobaczysz monit o zresetowanie hasła, który może oznaczać inną próbę wyłudzenia informacji, zamknij stronę ponieważ każdy przycisk może prowadzić do złośliwego łącza
- Nie odbieraj telefonów – choćby jeżeli identyfikator dzwoniącego zawiera informację „Wsparcie Apple” lub podobną
- Napastnicy używają zadzwoń podszywanie się co może sprawić, iż numer przychodzący będzie wyświetlany jako oficjalny numer telefonu pomocy technicznej Apple i może zweryfikować dane osobowe, dzięki czemu oszustwo będzie brzmieć wiarygodnie
- Następnie próbują uzyskać od Ciebie jednorazowy kod dostępu, aby przejąć Twoje konto Apple
- Jeśli masz jakiekolwiek wątpliwości, odrzuć połączenie i oddzwoń do Apple (800.275.2273 w USA) – fałszowanie połączeń nie powinno być w stanie przechwycić Twojego połączenia wychodzącego do prawdziwego Apple
- Apple to podkreśla nie zrobi połączeń wychodzących „chyba iż klient poprosi o kontakt” i iż powinieneś nigdy nie udostępniaj nikomu kodów jednorazowych
- Tymczasowo zmień numer telefonu powiązane z Twoim Apple ID
- Jeśli monity będą się przez cały czas pojawiać, zmiana numeru telefonu powiązanego z Apple ID powinna je zatrzymać
- Jednak pamiętaj będzie to zakłócać działanie iMessage i FaceTime
Więcej szczegółów
Jak zauważono w Krebsa w Security’s artykuł, wygląda na to, iż występuje problem z limitem szybkości w systemie resetowania hasła Apple ID.
Jaki rozsądnie zaprojektowany system uwierzytelniania wysłałby dziesiątki próśb o zmianę hasła w ciągu kilku chwil, gdy użytkownik choćby nie wykonał pierwszej prośby? Czy może to być wynikiem błędu w systemach Apple?
Mamy nadzieję, iż Apple pracuje nad poprawką, dzięki której złośliwe strony nie będą mogły nadużyć tego systemu. Niestety, oszustwo związane z resetowaniem hasła zostało podkreślone przez użytkowników przez co najmniej dwa lata (prawdopodobnie więcej).
Jedna z niedawnych ofiar podzieliła się informacją, iż starszy inżynier w firmie Apple poradził mu, aby włączył funkcję klucza odzyskiwania dla swojego Apple ID, aby zatrzymać powiadomienia o resetowaniu hasła. Jednak w dalszych testach tak się nie stało, a zweryfikowany przez Krebsa klucz Apple Recovery Key nie zapobiega monitom o zresetowanie hasła.
Powiązany:
Zdjęcia autorstwa 9to5Mac
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
