Користувачі Apple у США стали ціллю фішингової атаки
в iCases Blog
Яка націлена на скидання пароля Apple ID.
Фішингові атаки, що використовують помилку у функції скидання пароля Apple, стають дедалі поширенішими, повідомляє KrebsOnSecurity. Вони розсилають нескінченні повідомлення і повідомлення про багатофакторну аутентифікацію (MFA), намагаючись змусити людей дозволити скидання пароля для свого Apple ID. Атаки були спрямовані на кількох користувачів Apple у спробі змусити їх дозволити зміну пароля для свого Apple ID.
Зловмисник неодноразово виводив на екран iPhone, Apple Watches і Mac текст про зміну пароля на системному рівні в надії, що користувач випадково схвалить запит або йому набридне сповіщення і він натисне кнопку "Схвалити". Якщо запит буде схвалено, зловмисник зможе змінити пароль Apple ID і заблокувати обліковий запис користувача Apple.
Оскільки запит пароля спрямований на Apple ID, він з'являється на всіх пристроях користувача. Повідомлення відключає всі пов'язані з ним продукти Apple, поки користувач не видалить по одному спливаючому вікну на кожному пристрої. Користувач Twitter Парс Патель нещодавно поділився своїм досвідом подібної атаки, заявивши, що не міг користуватися своїм пристроєм, доки не натиснув кнопку "Не дозволяти" для більш ніж 100 повідомлень.
Коли зловмисники не можуть натиснути кнопку "дозволити" на повідомленнях про скидання пароля, їм часто надходить телефонний дзвінок, який здається дзвінком з Apple. У цьому дзвінку зловмисник стверджує, що знає про те, що жертва перебуває під атакою, і намагається отримати одноразовий пароль, який надсилають на номер телефону користувача під час спроби змінити пароль.
У випадку з Пателем зловмисник використовує інформацію, що просочилася з сайту пошуку людей, включно з ім'ям, поточною та минулими адресами і номерами телефонів, що дає достатньо інформації будь-кому, хто спробує отримати доступ до облікового запису. Зловмисник неправильно вказав ім'я, а також попросив ввести одноразовий код, що було підозріло, але Apple, очевидно, надіслала повідомлення, яке підтверджує, що такий код не потрібен.
Судячи з усього, атака залежить від того, чи є у зловмисника доступ до адреси електронної пошти та номера телефону, пов'язаних з Apple ID.
KrebsOnSecurity вивчив це питання, і виявилося, що зловмисник використовує сторінку Apple для забутих паролів Apple ID. Сторінка запитує адресу електронної пошти або номер телефону Apple ID користувача і містить CAPTCHA. Після введення адреси електронної пошти сторінка відображає останні дві цифри номера телефону, пов'язаного з обліковим записом Apple, і якщо ввести цифри, яких бракує, і натиснути кнопку "надіслати", то буде надіслано системне попередження.
Поки незрозуміло, як зловмисники використовують систему для надсилання кількох повідомлень користувачам Apple, але, судячи з усього, використовується помилка. Малоймовірно, що система Apple може бути використана для надсилання понад 100 запитів, тому, можливо, обходяться обмеження швидкості.
Власникам пристроїв Apple, які постраждали від цієї атаки, слід натиснути кнопку "не дозволяти" на всіх запитах і знати, що Apple не буде дзвонити їм, щоб запросити одноразовий код скидання пароля.
