Пользователи Apple в США стали целью фишинговой атаки
в iCases Blog
Которая нацелена на сброс пароля Apple ID.
Фишинговые атаки, использующие ошибку в функции сброса пароля Apple, становятся все более распространенными, сообщает KrebsOnSecurity. Они рассылают бесконечные уведомления и сообщения о многофакторной аутентификации (MFA), пытаясь заставить людей разрешить сброс пароля для своего Apple ID. Атаки были направлены на нескольких пользователей Apple в попытке заставить их разрешить смену пароля для своего Apple ID.
Злоумышленник неоднократно выводил на экран iPhone, Apple Watches и Mac текст о смене пароля на системном уровне в надежде, что пользователь случайно одобрит запрос или ему надоест уведомление и он нажмет кнопку "Одобрить". Если запрос будет одобрен, злоумышленник сможет изменить пароль Apple ID и заблокировать учетную запись пользователя Apple.
Поскольку запрос пароля направлен на Apple ID, он появляется на всех устройствах пользователя. Уведомление отключает все связанные с ним продукты Apple, пока пользователь не удалит по одному всплывающему окну на каждом устройстве. Пользователь Twitter Парс Патель недавно поделился своим опытом подобной атаки, заявив, что не мог пользоваться своим устройством, пока не нажал кнопку "Не разрешать" для более чем 100 уведомлений.
Когда злоумышленники не могут нажать кнопку "разрешить" на уведомлениях о сбросе пароля, им часто поступает телефонный звонок, который кажется звонком из Apple. В этом звонке злоумышленник утверждает, что знает о том, что жертва находится под атакой, и пытается получить одноразовый пароль, который отправляется на номер телефона пользователя при попытке сменить пароль.
В случае с Пателем злоумышленник использует информацию, просочившуюся с сайта поиска людей, включая имя, текущий и прошлые адреса и номера телефонов, что дает достаточно информации любому, кто попытается получить доступ к аккаунту. Злоумышленник неправильно указал имя, а также попросил ввести одноразовый код, что было подозрительно, но Apple, очевидно, прислала сообщение, подтверждающее, что такой код не требуется.
Судя по всему, атака зависит от того, есть ли у злоумышленника доступ к адресу электронной почты и номеру телефона, связанным с Apple ID.
KrebsOnSecurity изучил этот вопрос, и оказалось, что злоумышленник использует страницу Apple для забытых паролей Apple ID. Страница запрашивает адрес электронной почты или номер телефона Apple ID пользователя и содержит CAPTCHA. После ввода адреса электронной почты страница отображает последние две цифры номера телефона, связанного с учетной записью Apple, и если ввести недостающие цифры и нажать кнопку "отправить", то будет отправлено системное предупреждение.
Пока неясно, как злоумышленники используют систему для отправки нескольких сообщений пользователям Apple, но, судя по всему, используется ошибка. Маловероятно, что система Apple может быть использована для отправки более 100 запросов, поэтому, возможно, обходятся ограничения скорости.
Владельцам устройств Apple, пострадавших от этой атаки, следует нажать кнопку "не разрешать" на всех запросах и знать, что Apple не будет звонить им, чтобы запросить одноразовый код сброса пароля.
