Користувачі Apple підпадають під фішингові атаки із запитами на скидання пароля

Відповідно до звіту KrebsOnSecurity, фішингові атаки з використанням того, що виглядає як помилка у функції скидання пароля Apple, стають все більш поширеними. Кілька користувачів Apple стали мішенню атаки, яка бомбардує їх нескінченним потоком сповіщень або повідомлень багатофакторної автентифікації (MFA) у спробі змусити їх схвалити зміну пароля Apple ID.

Зловмисник може змусити цільовий iPhone, Apple Watch або Mac знову і знову відображати тексти схвалення зміни пароля на системному рівні, сподіваючись, що цільова особа помилково схвалить запит або втомиться від сповіщень і натисне на кнопку прийняти. Якщо запит схвалено, зловмисник зможе змінити пароль ‌Apple ID‌ і заблокувати користувача Apple у своєму обліковому записі.

Оскільки запити пароля спрямовані на ‌Apple ID‌, вони з’являються на всіх пристроях користувача. Завдяки сповіщенням усі зв’язані продукти Apple не можна буде використовувати, доки спливаючі вікна не будуть закриті одне за іншим на кожному пристрої. Користувач Twitter Parth Patel нещодавно поділився своїм досвідом, коли став мішенню атаки, і він каже, що не міг використовувати свої пристрої, доки не натиснув «Заборонити», щоб отримати понад 100 сповіщень.

Коли зловмисникам не вдається змусити людину натиснути «Дозволити» у сповіщенні про зміну пароля, цілі часто отримують телефонні дзвінки, які, здається, надходять від Apple. Під час цих дзвінків зловмисник стверджує, що знає, що жертва піддається атаці, і намагається отримати одноразовий пароль, який надсилається на номер телефону користувача під час спроби змінити пароль.

У випадку Пателя зловмисник використовував інформацію, отриману з веб-сайту пошуку людей, яка включала ім’я, поточну адресу, минулу адресу та номер телефону, надаючи людині, яка намагалася отримати доступ до його облікового запису, достатньо інформації для роботи. Зловмисник помилився своїм ім’ям, і він також став підозрілим, оскільки його попросили одноразовий код, який Apple явно надсилає з повідомленням, яке підтверджує, що Apple не запитує ці коди.

Схоже, що атака пов’язана з тим, що зловмисник має доступ до адреси електронної пошти та номера телефону, пов’язаного з ‌Apple ID‌.

KrebsOnSecurity дослідив цю проблему та виявив, що зловмисники, схоже, використовують сторінку Apple для отримання забутого пароля ‌Apple ID‌. Ця сторінка потребує електронної пошти або номера телефону ‌Apple ID‌ і має CAPTCHA. Коли вводиться адреса електронної пошти, на сторінці відображаються дві останні цифри номера телефону, пов’язаного з обліковим записом Apple, а введення пропущених цифр і натискання «Надіслати» надсилає системне сповіщення.

Неясно, як зловмисники зловживають системою, щоб надсилати кілька повідомлень користувачам Apple, але, схоже, це помилка, яку використовують. Малоймовірно, що система Apple призначена для надсилання понад 100 запитів, тому, ймовірно, обмеження швидкості обходиться.

Власники пристроїв Apple, на які спрямована така атака, повинні натискати «Заборонити» під час усіх запитів і знати, що Apple не телефонує з запитами на одноразовий код скидання пароля.