在过去几天内,Apple设备用户遭遇了新一轮的MFA网络钓鱼攻击。这轮攻击针对所有Apple设备,包括iPhone、Mac电脑、iPad,甚至Apple智能手表,它通过向用户发送大量通知或多因素验证信息(MFA)以试图让他们批准更改Apple ID密码。

安全专家布莱恩·克雷布斯发布了一份基于目标人群陈述的报告,其中许多苹果设备用户报告称,他们收到了大量的通知信息,要求他们允许在所有设备上更改账户密码,从而构成了一种会带来很大不便的状态,因为用户无法正常使用他们的设备,除非你点击全部的通知并删除它们。

克雷布斯在其博客上发表的报告中回顾了如何以这种方式追捕受害者的过程。当用户收到这些通知时,他必须单击以下两个选项之一来与所有通知一一进行交互:“允许”或者“不允许”。

克雷布斯在报告中提到了一位名叫帕斯·帕特尔的用户的案例,以及他在这次攻击中遭遇的事情。他说,他一直点击“不允许”选项超过100次,才能够再次使用他的设备。

黑客在此过程中的目标是迫使用户犯错误,在被这些通知淹没之后,如果用户意外按下“允许”按钮,那么这将允许攻击者重置其Apple账户密码,从而授予其访问该账户的权限。

但即使大量的通知没有成功迷惑用户按下“允许”按钮,攻击者也会诉诸第二阶段,特别是如果他们知道用户的电话号码的话,因为下一步将是由黑客冒充苹果公司的客服人员,并致电用户,通知他公司注意到他的账户遭到了黑客攻击,为了确保其账户安全并更改密码,将要求他通过手机短信获取临时验证码。

当这个伎俩成功后,黑客就获得了临时验证码,并将用它来完成更改用户账户密码的过程,一旦这个过程成功,他将访问该账户中的所有用户数据,并且可以最终阻止用户访问该账户内的所有注册设备,此外,他还能够远程删除该账户内的所有数据。

以分享其遭遇的用户帕特尔为例,他说他在当时接到了电话,但他非常怀疑,因为来电者要求他提供苹果公司发送的临时验证码,而他知道苹果公司不会要求获得这些验证码,他要求来电者核实一些关于他的信息,但令他意外的是,来电者给他提供了准确的信息——除了他的真实姓名以外。

帕特尔表示,当他要求来电者验证他苹果账户文件中的姓名时,来电者给了他一个不是他真实姓名的名字,而这个名字帕特尔只是在一个名为“PeopleDataLabs”的网站上出售的泄露数据报告中看到过。

受害者手机上显示通知信息的屏幕

另一位客户克里斯是加密货币对冲基金所有者,他告诉克雷布斯,他在今年2月底遇到了一次非常相似的网络钓鱼尝试。

克里斯表示,“我在收到第一条通知时点击了‘不允许’,但紧接着我连续收到了近30条类似通知,我以为我可能坐在了手机上,或者我不小心按下了某些按钮,所以我拒绝了所有的许可要求。”

克里斯表示,几天来,攻击者继续向他的设备发送重置通知,之后他还接到了电话,对方自称是苹果公司的技术支持人员。

他补充道,“我告诉他我会给他们回电话,然后就挂断了。当我再次拨打苹果公司的真实号码时,他们向我保证,无论当时是谁在与我通话,他都不是该公司的技术支持员工。他们说,苹果公司非常明确地表示,除非客户主动要求与公司联系,否则公司永远不会给客户打电话。”

请求允许更改Apple账户密码的消息

产生漏洞的原因是什么?

安全专家调查了该问题,发现攻击者正在使用苹果网站上专门用于重置苹果账户密码(以防忘记)的页面来发送这类通知。

此页面需要电子邮件或者电话号码,并且还包含验证码。在输入电子邮件地址时,页面会显示与Apple账户关联的电话号码的最后两位数字。输入电话号码并点击“发送”之后,用户就会收到要求重置密码的通知。

来源 : 电子网站