一些 Apple (苹果) 用户报告了利用密码重置功能进行的网络钓鱼攻击。
你注意到 iPhone 上的系统提示你输入密码。你点击“不允许”。然后这种情况一次又一次地发生。
在某个时候,你可能会感到恼火或开始恐慌,然后点击“允许”。
然后,你接到了“苹果代表”打来的电话,要求你重设密码,但当他们确认你的信息时,你发现他们弄错了你的名字。
这正是一名男子的遭遇,他很幸运,在为时已晚之前发现了这个骗局。
如果他没有意识到有什么不对劲,他的账户就会被锁定,而攻击者则会获取他的所有个人信息。
这就是这种名为 MFA 轰炸或推送轰炸的新钓鱼攻击模式的目标。
什么是外交部轰炸
MFA 轰炸,又称推送轰炸,是一种新型网络钓鱼技术,其战术演进十分精妙。
它既利用了技术漏洞,也利用了人类心理。
攻击者用提示轰炸系统,让用户的设备不断收到大量提示,直到他们感到“通知疲劳”。
一旦不堪重负,受害者就更有可能错误地批准恶意请求。
这对 Apple 用户有何影响?
在一连串提示音之后,用户会接到一个自称是Apple支持人员打来的电话。
显示的电话号码可能是伪造的,看起来像是 Apple 的官方支持号码,这为通话增加了一层可信度。
在通话过程中,“苹果代表”会告知用户他们的帐户正受到攻击或面临风险,从而激起用户的紧迫感和恐惧感。然后,他们会开始网络钓鱼。
攻击者会声称,为了保护帐户安全,他们需要使用苹果据称已发送到用户设备的一次性密码来“验证”用户的身份或帐户状态。
如果用户确信无疑,他们可能会向呼叫者提供一次性密码。此密码是一条关键信息,在正常情况下,用于在合法的密码重置或帐户解锁过程中确认帐户持有人的身份。
一旦攻击者获得一次性密码,他们就可以完成密码重置过程。这将有效地锁定合法用户,同时攻击者可以访问用户的 Apple ID 和链接服务。
如何保护你的设备
为了防御此类攻击,关键是要:
- 记得点击“不允许”来提示你没有请求。如果你发现这些情况不断出现,请举报。
- 对询问敏感信息的未经请求的电话保持怀疑,即使它们看起来来自合法来源。
- 务必核实通话对象的身份。如果感觉不对劲,请挂断电话并拨打公司网站上的官方支持电话。
- 要为您的帐户添加额外的安全层,请使用额外的验证步骤,例如设置恢复密钥,正如 Apple 建议的那样。
缓解网络钓鱼攻击的措施
随着攻击者不断改进策略,行业必须不断调整防御措施。为了遏制此类攻击,科技公司需要审查其系统设计并限制攻击者可以发出的密码请求次数。
此外,在整个行业内持续分享有关此类威胁和有效对策的信息对于领先攻击者至关重要。在问题出现时立即解决这些问题至关重要——用户和技术提供商都需要报告这些问题。
调整我们的防御措施
虽然具体的漏洞和攻击方法可能会发生变化,但我们必须继续努力才能占上风。不断改进系统、报告正在发生的事情并实施强有力的安全措施至关重要。
