外國網路安全部落客 KrebsOnSecurity 指出,近期有惡意分子利用蘋果密碼重置功能中的漏洞來進行釣魚攻擊,多名用戶已經成為攻擊目標,攻擊者會向受害者發送無止盡的通知或多重要素驗證(MFA)訊息,試圖引誘他們批准進行 Apple ID 密碼更改。
攻擊者能夠使其目標的 iPhone、Apple Watch 或 Mac 一遍又一遍地顯示系統要求進行密碼更改批准,受害者可能會錯誤地或厭倦被通知轟炸而按下接受。假如惡意份子獲得了批准,就可以更改受害者的 Apple ID 密碼,並將受害者鎖定在帳戶之外。
由於這樣的密碼更改請求針對的是 Apple ID,所以一旦使用者被更改密碼,將會在所有裝置上被彈出。
有些人可能會認為只是按個關閉而已,怎麼會有「被轟炸感」?事實上如果你的 Apple ID 被惡意份子鎖定攻擊,且你又有多部蘋果裝置,那可能會是件苦差事,因為這樣的 MFA 轟炸會在每一台裝置上彈出通知,你無法在透過一部裝置就全數關閉,而是要手動一一在每部裝置一條又一條地關閉這些訊息。
X 用戶 Parth Patel 也分享了他近期成為攻擊目標的經歷,他表示自己的 Apple ID 被 MFA 轟炸後無法順利地使用自己的設備,除非他要按下超過百條通知的「不允許」。
不過惡意份子的招數可不僅這些,當攻擊者無法順利地誘使使用者點擊通知上的「允許」時,使用者通常會接到聲稱是來自蘋果官方的電話,並表示發現使用者受到了攻擊,然後這些假冒的蘋果客服人員會試圖從交談中套出發送到使用者簡訊中的一次性密碼,再加以入侵受害者的 Apple ID。
About 15 minutes later, they call me on my number, using Caller ID spoofing of the official Apple Support phone line (1 (800) 275-2273).
They really emphasized this detail to win trust from the victim.
I was obviously still on guard, so I asked them to validate a ton of… pic.twitter.com/Xi12VzrNy5
— Parth (@parth220_) March 23, 2024
在 Patel 的例子中,攻擊者使用從人物搜尋網站洩露的訊息,其中會包括姓名、目前居住地址、過去地址與電話號碼,為試圖訪問其帳號的人提供充足資訊。而 Patel 的攻擊者恰巧將自己的名字寫錯了,使得這名攻擊者變得可疑,蘋果明確地向 Patel 發送一次又一次的一次性代碼,但當中還附有一條提醒,就是蘋果絕對不會向使用者索取這些代碼。
這次的攻擊似乎是取決於攻擊者是否能存取與 Apple ID 相關的電子郵件地址與電話號碼。
KrebsOnSecurity 也進一步調查此一問題,發現攻擊者似乎是利用蘋果頁面上的忘記密碼來進行攻擊,因為此一頁面需要使用者的 Apple ID 電子郵件與電話號碼,且具有驗證碼機制。輸入電子郵件地址後,頁面會顯示與蘋果帳號相關的電話號碼最後兩個數字,填寫缺少的數字並點擊「提交」就會發送系統提醒。
目前尚不清楚攻擊者如何濫用蘋果的這套系統來向用戶發送多個系統訊息,但這凸顯出蘋果的驗證機制正在被錯誤的利用。
最後又再度提醒蘋果使用者,受到此類攻擊的時候應確保所有按下的紐都得是「不允許」,且應注意蘋果官方絕對不會致電給你要求你提供一次性密碼重置代碼。
(首圖來源:蘋果)
科技新報粉絲團
加入好友
訂閱免費電子報
