安全警告:苹果用户成为涉及密码重置请求的高级网络钓鱼攻击的目标
安全警告:苹果用户成为涉及密码重置请求的高级网络钓鱼攻击的目标攻击者可以让目标用户的iPhone、AppleWatch或Mac一遍又一遍地显示系统级密码更改批准文本,希望目标用户错误地批准请求,或者厌倦这些通知并点击接受按钮。如果请求被批准,攻击者就能更改AppleID密码并锁定苹果用户的账户。由于密码请求以AppleID为目标,因此会在用户的所有设备上弹出。这些通知会导致所有链接的苹果产品无法使用,直到每个设备上的弹出窗口被逐个删除。Twitter用户帕特尔(ParthPatel)最近分享了他被攻击的经历,他说在点击100多个通知的"不允许"之前,他无法使用自己的设备。当攻击者无法让用户点击密码更改通知上的"允许"时,目标通常会接到看似来自苹果公司的电话。在这些电话中,攻击者声称知道受害者正在遭受攻击,并试图获取一次性密码,该密码会在试图更改密码时发送到用户的电话号码上。在帕特尔的案例中,攻击者使用的是一个人肉搜索网站泄露的信息,其中包括姓名、当前地址、过去地址和电话号码,这让试图访问他账户的人有了充足的信息依据。攻击者碰巧弄错了自己的姓名,而且他还因为被要求提供苹果公司明确发送的一次性代码而产生了怀疑,因为苹果公司在发送信息时确认不会要求提供这些代码。这种攻击似乎取决于作案者能否访问与AppleID相关联的电子邮件地址和电话号码。KrebsOnSecurity对这一问题进行了调查,发现攻击者似乎在使用苹果公司的AppleID忘记密码页面。该页面需要用户的AppleID电子邮件或电话号码,并有一个验证码。当输入电子邮件地址时,页面会显示与苹果账户关联的电话号码的最后两位数字,输入缺失的数字并点击提交,系统就会发出警报。目前还不清楚攻击者是如何滥用系统向苹果用户发送多条信息的,但这似乎是一个被利用的漏洞。苹果公司的系统不太可能被用来发送超过100个请求,因此很可能是设法绕过了限制。受到此类攻击的苹果设备用户应确保点击"不允许"所有请求,并应注意苹果公司不会拨打电话来请求一次性密码重置。...PC版:https://www.cnbeta.com.tw/articles/soft/1425203.htm手机版:https://m.cnbeta.com.tw/view/1425203.htm
