דיווח: מתקפת ספאם על משתמשי אפל באמצעות בקשות "איפוס סיסמה"

משתמשים דיווחו שקיבלו מאות בקשות "איפוס סיסמה" במכשירי אפל שלהם ואפילו שיחות מזויפות, לכאורה מהתמיכה של אפל

היזהרו מבקשות מרובות לאיפוס סיסמה במכשירי אפל

בעלי מכשירי אפל בארה"ב מדווחים כי הם מקבלים למכשירים מאות בקשות "איפוס סיסמה" ואפילו שיחות מזויפות, לכאורה מהתמיכה של אפל.

הדיווח הראשון פורסם ב-X על ידי יזם הבינה המלאכותית פארת' פאטל, ובהמשך אישר את קיומו בלוגר האבטחה בריאן קרבס, מ-Krebs on Security, ונראה שהקמפיין מכוון לאנשים ספציפיים, המוצפים בבקשות לאיפוס סיסמה. מכיוון שההתראות נשלחות ברמת המערכת, דיווח פאטל, הוא היה צריך לנקות כל אחת מהן לפני שיכול היה להשתמש שוב במכשירי אפל שלו. הוא דיווח שנאלץ להקיש על "אל תאפשר" ליותר מ-100 הודעות. כמה מחבריו – וקורבנות נוספים – דיווחו על נפחים דומים.

ההתקפה דומה להתקפות התשה אחרות שצצו במהלך השנים, שמטרתן להתיש את המשתמש ולגרום לו לאפשר בטעות את שינוי הסיסמה שלו – או לעשות זאת רק כדי לעצור את "מבול" ההודעות. כתוצאה מקמפיינים מסוג כזה, מיקרוסופט שינתה את אופן הפעולה של קודי ה-MFA (אימות רב-גורמי) שלה.

אפל עדיין לא ביצעה שינוי כזה. מכל מקום, התוקפים במקרה הזה היו מתוחכמים דיים כדי לחרוג מעבר להודעות ספאם בלבד. פאטל אמר, כי בערך 15 דקות לאחר ניקוי ההתראות התקשר אליו מישהו ממספר טלפון זהה למספר הטלפון של קו התמיכה של אפל, שאחר כך התברר שהוא זיוף (באמצעות תהליך שמאפשר להערים על זיהוי המתקשר ולהציג שם או מספר טלפון אחר.

המתקשר הודיע ​​לו שחשבונו מותקף, וביקש ממנו לאמת את המידע שלו ולספק קוד איפוס חד פעמי. מאחר שהוא חשד לגבי אופי השיחה, פאטל ביקש מהמתקשר לאמת חלק מהמידע האישי שלו, והמתקשר לרוב הצליח. אבל בנקודה מסוימת הוא זיהה טעות שגרמה לו להבין שמדובר בהונאה.

העובדה שהנוכל התקשר לפאטל מעידה על כך שהוא הצליח לשלוח בקשות לאיפוס סיסמה באמצעות עמוד iForgot של אפל, המבקש רק כתובת אימייל ו-CAPTCHA פתור בנוסף למספר הטלפון של החשבון כדי לשלוח בקשה לאיפוס סיסמה.

מספר הבקשות הגדול לאימות הסיסמה מעלה את האפשרות שיש פרצה ברכיב שמגביל את הקצב במערכת ה-iForgot שלה, המאפשרת להפציץ משתמשים בבקשות איפוס חוזרות ונשנות.

אפל לא התייחסה לידיעה.

עד שאפל תטפל בבעיה בדרך כלשהי, כדאי למשתמשים לנקוט זהירות במקרה של קבלת התראות מעין אלה, וגם לא לתת מידע למישהו שמתקשר וטוען שהוא מהתמיכה של אפל, ובאופן כללי אפל מייעצת: "אם אתה מקבל שיחת טלפון לא רצויה או חשודה ממישהו שטוען שהוא מהתמיכה של אפל או מאפל – פשוט נתק".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים