Jeden z najnowsze ataki na iPhone’a widzi, że złośliwe strony nadużywają systemu resetowania hasła Apple ID, aby zalać użytkowników iOS monitami o przejęcie ich kont. Oto, jak możesz chronić się przed atakami polegającymi na resetowaniu hasła iPhone’a (często nazywanymi „bombardowaniem MFA”).
Niedawno słyszeliśmy o użytkownikach Apple celem zamachów bombowych MSZ (zwane także zmęczeniem MSZ lub bombardowaniem pchającym). Nie jest to nowy atak, ale może być przekonującym oszustwem, ponieważ przekazuje ofiarom oficjalne monity o zresetowanie hasła do systemu iOS.
Jak szczegółowo opisał Krebsa o bezpieczeństwie (przez Partha Patel), osoby atakujące wykorzystujące tę lukę prawdopodobnie robią to za pośrednictwem numeru telefonu użytkownika Apple, co może zbombardować Twój iPhone i inne urządzenia Apple za pomocą ponad 100 monitów systemowych MFA (uwierzytelnianie wieloskładnikowe) o zresetowanie hasła Apple ID.
Jak chronić się przed atakami polegającymi na resetowaniu hasła do iPhone’a
- Upadek, upadek, upadek
- Ponieważ prośby o zresetowanie hasła są alertem na poziomie systemu, wydaje się to przekonujące – ale pamiętaj, aby dokonać wyboru „Nie zezwalaj” dla nich wszystkich
- Jednym ze sposobów, w jaki napastnicy męczą ofiary, jest bombardowanie ich setkami podpowiedzi, czasami w ciągu kilku dni – wybieraj dalej „Nie zezwalaj” i opcjonalnie wykonaj krok 3 poniżej
- Uwaga: jeśli w Internecie zobaczysz monit o zresetowanie hasła, który może oznaczać inną próbę wyłudzenia informacji, zamknij stronę ponieważ każdy przycisk może prowadzić do złośliwego łącza
- Nie odbieraj telefonów – nawet jeśli identyfikator dzwoniącego zawiera informację „Wsparcie Apple” lub podobną
- Napastnicy używają zadzwoń podszywanie się co może sprawić, że numer przychodzący będzie wyświetlany jako oficjalny numer telefonu pomocy technicznej Apple i może zweryfikować dane osobowe, dzięki czemu oszustwo będzie brzmieć wiarygodnie
- Następnie próbują uzyskać od Ciebie jednorazowy kod dostępu, aby przejąć Twoje konto Apple
- Jeśli masz jakiekolwiek wątpliwości, odrzuć połączenie i oddzwoń do Apple (800.275.2273 w USA) – fałszowanie połączeń nie powinno być w stanie przechwycić Twojego połączenia wychodzącego do prawdziwego Apple
- Apple to podkreśla nie zrobi połączeń wychodzących „chyba że klient poprosi o kontakt” i że powinieneś nigdy nie udostępniaj nikomu kodów jednorazowych
- Tymczasowo zmień numer telefonu powiązane z Twoim Apple ID
- Jeśli monity będą się nadal pojawiać, zmiana numeru telefonu powiązanego z Apple ID powinna je zatrzymać
- Jednak pamiętaj będzie to zakłócać działanie iMessage i FaceTime
Więcej szczegółów
Jak zauważono w Krebsa w Security’s artykuł, wygląda na to, że występuje problem z limitem szybkości w systemie resetowania hasła Apple ID.
Jaki rozsądnie zaprojektowany system uwierzytelniania wysłałby dziesiątki próśb o zmianę hasła w ciągu kilku chwil, gdy użytkownik nawet nie wykonał pierwszej prośby? Czy może to być wynikiem błędu w systemach Apple?
Mamy nadzieję, że Apple pracuje nad poprawką, dzięki której złośliwe strony nie będą mogły nadużyć tego systemu. Niestety, oszustwo związane z resetowaniem hasła zostało podkreślone przez użytkowników przez co najmniej dwa lata (prawdopodobnie więcej).
Jedna z niedawnych ofiar podzieliła się informacją, że starszy inżynier w Apple poradził mu, aby włączył funkcję klucza odzyskiwania dla swojego Apple ID, aby zatrzymać powiadomienia o resetowaniu hasła. Jednak w dalszych testach okazało się, że tak nie jest, a zweryfikowany przez Krebsa klucz Apple Recovery Key nie zapobiega monitom o zresetowanie hasła.
Powiązany:
Zdjęcia autorstwa 9to5Mac
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.