据报道,苹果用户正成为所谓的多因素身份验证 (MFA) 轰炸攻击(也称为推送通知垃圾邮件)的目标。不良行为者可能会利用 Apple 密码重置功能中的错误。
在这些精心设计的网络钓鱼攻击中,Apple 设备被迫显示多个系统级提示,阻止设备被使用,直到用户对每个提示做出“允许”或“不允许”响应。这些大多是密码重置请求。
这种“轰炸”会给人一种设备或用户帐户受到攻击的印象。然后诈骗者致电受害者(在来电显示中欺骗 Apple 支持)并告诉他们需要“验证”一次性代码。
造成虚假的信任感
企业家 Parth Patel 上周在 X 上描述了类似的网络钓鱼活动,他称其为“推式轰炸”或“MFA 疲劳”攻击。
当网络钓鱼者冒充苹果公司的人打电话给他安东尼并最后要求他提供一次性密码时,帕特尔才意识到出了问题,尽管该消息明确表示:“不要与任何人分享。”
如果用户提供一次性代码,攻击者就可以重置密码并锁定用户或远程擦除用户的所有 Apple 设备。
如果帕特尔以某种方式在单个密码重置提示上单击“允许”,即使他是无意的,他的帐户也会被泄露。幸运的是,帕特尔表示,在接到电话之前,他成功拒绝了 100 多条通知。
对于科技行业专业人士帕特尔来说,这自然是令人怀疑的。然而,并非所有苹果用户都知道该公司永远不会向客户发起外拨电话——他们必须先请求联系。
显然,这是苹果需要解决的巨大安全风险,但目前该公司尚未发表评论。然而,MFA 轰炸始终让黑客能够成功实施攻击。
例如,犯罪青少年黑客组织 LAPSUS$使用 MFA 轰炸,对思科、微软和Uber造成了巨大影响。最近,洛杉矶心理健康部也成为MFA 攻击的受害者。
需要额外警惕
Jamf(一家为苹果优先环境提供安全解决方案的公司)的产品组合战略副总裁 Michael Covington 表示,消费者必须格外警惕。
“MFA 轰炸对任何目标用户都是一个挑战,因为他们被迫筛选大量通知,担心如果犯一个错误就会进一步受到伤害,”科文顿说。
“然而,他们没有意识到,这种攻击通常是在用户凭据被成功泄露之前发生的,从而允许黑客启动登录过程。”
然后,用户必须保护第二个身份验证因素(通常是 PIN 码),这是完成帐户访问或密码重置所需的。正如真实的苹果客户支持电话号码的欺骗所表明的那样,他们不能信任任何人。
安全研究人员阿努拉格·森 (Anurag Sen) 最近发现,毫不夸张地说,科技巨头以短信形式发送的数百万双因素身份验证码在未经任何身份验证的情况下在网上泄露给了任何人。这些代码保存在短信路由服务 YX International 的数据库中。
根据卡温顿的说法,用户需要始终保持软件更新,当然,也要尝试自己拨打客户支持电话。
“如果您必须接听电话,请使用验证问题来确认您正在与相关服务的合法代理通话,”科文顿说。
“就像用户被要求回答验证问题以恢复忘记的密码一样,任何试图访问您帐户的人都应该经过类似严格的流程,以确保他们有权这样做。”
发表评论
您还未登录,请先登录。
登录