粉絲團
(圖/路透社)
iPhone 用戶小心!資安機構 KrebsonSecurity 近期揭露最新釣魚手法,疑似透過 Apple ID 的重設密碼機制,狂發上百條通知轟炸用戶,甚至假冒蘋果官方客服進一步竊取帳號密碼。
據悉,駭客會利用「多重要素驗證」(MFA)的保護機制,只要有勇有對方的 Apple ID 或是電話號碼,就可以藉由「忘記密碼」的形式,向用戶的設備發出「重設密碼」的通知,並且不限於 iPhone,包含 iPad、Apple Watch,只要是同一 Apple ID 的設備都會接收。
X(前推特)用戶 Parth Patel 即分享被攻擊的過程,他在 iPhone 上收到超過 100 多通知,而且一定得按下「不同意」才能繼續使用設備,否則手機將會被通知洗到動彈不得。
事實上,這些通知本身是無害的,駭客真正的意圖是,是透過多條警告來使用戶陷入驚慌狀態,再假冒蘋果客服聯繫,藉機要求用戶提供機密資料、一次性密碼。萬一不幸交出,駭客集團隨即就能控制用戶的 Apple ID 帳號。
KrebsonSecurity 認為,此攻擊可能是源自於蘋果內部一項 Bug,因為官方不可能連續發出上百條通知提醒,可能駭客以某些管道繞過了限制。專家也提醒,蘋果官方不會主動透過電話聯繫用戶,也千萬不要分享一次性密碼,最保險的方式,就是自己聯繫真正的蘋果客服確認情況。
《你可能還想看》
