Користувачі iPhone, Apple Watch та Mac стали мішенню просунутої фішинг-атаки

Фішингові атаки, що використовують, як видається, помилку в функції скидання пароля Apple, стають все більш поширеними, згідно зі звітом компанії KrebsOnSecurity. Як повідомляє MacRumors, кілька користувачів техніки Apple стали мішенню атаки, яка бомбардує їх нескінченним потоком спливаючих повідомлень або повідомлень про багатофакторну автентифікацію (MFA) в спробі змусити їх схвалити зміну пароля Apple ID.

Зловмисник може змусити iPhone, Apple Watch або комп’ютер Mac жертви знову і знову відображати системні повідомлення про схвалення зміни пароля, сподіваючись, що користувачі помилково схвалять запит або втомляться від сповіщень і натиснуть на кнопку “Прийняти”. Якщо запит схвалено, зловмисник може змінити пароль Apple ID і заблокувати доступ до облікового запису користувача Apple.

Оскільки запити на зміну пароля спрямовані на Apple ID, вони з’являються на всіх пристроях користувача. Сповіщення призводять до того, що всі пов’язані з ними продукти Apple не можуть бути використані, поки спливаючі вікна не будуть закриті по черзі на кожному пристрої. Користувач X/Twitter Parth (@parth220_) нещодавно поділився своїм досвідом, коли він став жертвою цієї атаки, і каже, що не міг користуватися своїми пристроями, поки не натиснув кнопку “Не дозволяти” для більш ніж 100 сповіщень.

Last night, I was targeted for a sophisticated phishing attack on my Apple ID.

This was a high effort concentrated attempt at me.

Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.

🧵 Here’s how it went down:

— parth (@parth220_) March 23, 2024

Коли зловмисники не можуть змусити людину натиснути кнопку “Дозволити” у сповіщенні про зміну пароля, жертви часто отримують телефонні дзвінки, які нібито надходять від Apple. У цих дзвінках зловмисник стверджує, що знає, що жертву атакують, і намагається отримати одноразовий пароль, який надсилається на номер телефону користувача при спробі змінити пароль.

У випадку Пателя зловмисник використовував інформацію, виточену з вебсайту пошуку людей, яка включала ім’я, поточну адресу, минулу адресу та номер телефону, що давало людині, яка намагалася отримати доступ до його облікового запису, достатньо інформації для роботи. Зловмисник помилився з ім’ям, а також у нього виникли підозри, оскільки його попросили ввести одноразовий код, який Apple явно надсилає разом із повідомленням, що Apple не запитує ці коди.

Атака, схоже, ґрунтується на тому, що зловмисник має доступ до адреси електронної пошти та номера телефону, пов’язаного з Apple ID.

KrebsOnSecurity дослідила цю проблему і виявила, що зловмисники, схоже, використовують сторінку Apple для отримання забутого пароля Apple ID. Ця сторінка вимагає введення адреси електронної пошти або номера телефону користувача Apple ID, а також містить CAPTCHA. Після введення адреси електронної пошти на сторінці відображаються останні дві цифри номера телефону, пов’язаного з обліковим записом Apple, а введення пропущених цифр і натискання кнопки “Відправити” призводить до системного сповіщення.

Незрозуміло, як зловмисники зловживають системою для надсилання численних повідомлень користувачам Apple, але, схоже, це баг, який експлуатується. Малоймовірно, що система Apple розрахована на відправку більше ніж 100 запитів, тому, ймовірно, зловмисники намагаються обійти обмеження на кількість повідомлень.

Власникам пристроїв Apple, на які спрямована така атака, слід обов’язково натиснути “Не дозволяти” на всіх запитах, а також пам’ятати, що компанія Apple не здійснює телефонних дзвінків з проханням надіслати одноразові коди для скидання пароля.