Согласно новому отчёту специалистов по безопасности из KrebsOnSecurity, пользователи продуктов Apple в США начали сталкиваются с увеличением числа фишинговых атак, которые, по всей видимости, используют уязвимость в функции сброса пароля для учётной записи Apple ID. Атакующие осуществляют непрерывную отправку уведомлениями и запросами многофакторной аутентификации (MFA), целью которых является принуждение пользователей к подтверждению смены пароля для Apple ID.
Злоумышленники могут вызвать массовую отправку системных запросов на устройствах жертв, таких как iPhone, Apple Watch или Mac, что может привести к случайному одобрению смены пароля или к усталости пользователя от бесконечных уведомлений. Как следствие – неподготовленный человек, которого заспамили уведомлениями, нажимает кнопку подтверждения. В случае одобрения запроса, злоумышленник получает возможность изменить пароль Apple ID и заблокировать доступ к учётной записи пользователя.
Эти уведомления о смене пароля отображаются на всех устройствах, связанных с Apple ID, что делает невозможным их использование до тех пор, пока все всплывающие окна не будут закрыты. Один из пользователей Twitter поделился своей историей, утверждая, что не мог получить нормального доступа к своим устройствам до тех пор, пока не отклонил более сотни таких уведомлений.
Если злоумышленникам не удаётся заставить жертву нажать «Разрешить», они прибегают к телефонным звонкам, которые кажутся исходящими от Apple. При звонке злоумышленники утверждают, что знают о фишинговой атаке и пытаются выманить одноразовый пароль уже устно.
Исследование KrebsOnSecurity показало, что злоумышленники, возможно, используют страницу восстановления забытого пароля от Apple ID, где требуется ввести адрес электронной почты или номер телефона, связанный с этой учётной записью. Специалисты отмечают, что на странице сброса присутствует CAPTCHA, которая, судя по всему, не помогает.
Неясно, каким образом злоумышленники могут отправлять множество сообщений, но предполагается, что они эксплуатируют ошибку в системе. Очевидно, что у Apple существую ограничения, которые не дают системе отправить более 100 запросов практически одновременно, что указывает на возможный её обход или уязвимость.
Пользователям, столкнувшимся с подобными атаками, рекомендуется отклонять все запросы и помнить, что Apple не осуществляет звонки с просьбой предоставить одноразовый код для сброса пароля.
Ещё по теме: