מתקפות פישינג רבות מוכרות מכוונות למשתמשי מכשירי אפל כדי לגשת ל-Apple ID שלהם. מתקפה "מתוחכמת" חדשה מנצלת באג בתכונת איפוס סיסמת ה-Apple ID בשילוב טכניקות של "הפצצת התראות" או "עייפות אימות דו-שלבי" כדי להציף מכשירי אפל בבקשות לאיפוס סיסמה.
לפי דיווח של Krebs on Security, היזם פארט פאטל היה אחד הקורבנות של מתקפת הפישינג המתוחכמת החדשה. פאטל הסביר בפוסט ברשת החברתית X שמכשיר האייפון שלו ושאר מכשירי אפל שלו "פתאום התחילו להתפוצץ מהתראות איפוס סיסמה". מכיוון שמדובר בהתראה ברמת המערכת, לא ניתן להשתמש במכשיר עד שמתייחסים אליה.
לפי פאטל, הוא קיבל למעלה מ-100 בקשות לאיפוס סיסמת ה-Apple ID שלו. אבל המתקפה לא נעצרה שם. כ-15 דקות לאחר מכן, המשתמש קיבל שיחה מאדם שהתחזה למספר הטלפון הרשמי של תמיכת אפל.
"ברור שהייתי עדיין על המשמר, אז ביקשתי מהם לאמת המון פרטים עליי לפני שעניתי על אף שאלה שלהם", אמר פאטל. כדי לזכות באמון הקורבן, האדם שהתחזה לעבוד בתמיכת אפל שיתף פרטים אישיים נכונים רבים, כגון דוא"ל, מספר טלפון וכתובת חיוב נוכחית.
למזלו, פאטל הצליח לאשר שהשיחה היא תרמית לאחר שביקש מהאדם לאשר את שמו. "הבנתי שהם השתמשו בנתונים שלי מ-People Data Labs בזמן אמת כדי לאמת המון פרטים. למרות שציינו נכון את כל הנתונים שלי, הפושעים חשבו ששמי אנתוני ס."
עבור אלו שאינם מכירים, People Data Labs היא פלטפורמה שאוספת ומוכרת נתונים אישיים. הפלטפורמה הייתה יעד לדליפה ענקית בשנת 2019 שחשפה כ-1.2 מיליארד רשומות.
לעולם אל תשתפו את קוד איפוס הסיסמה שלכם עם אחרים
מה שהתוקפים רוצים הוא לשכנע את הקורבנות שמשהו לא בסדר ושהם צריכים לשתף את הקוד שנשלח על ידי אפל כדי לאפס את הסיסמה שלהם. כמובן, אם הקורבן משתף את הקוד הזה עם מישהו אחר, אותו אדם יכול לקבל גישה מלאה ל-Apple ID.
Krebs on Security דיבר עם משתמשי מכשירים נוספים של אפל שגם הם הותקפו על ידי מתקפת פישינג זהה. בכל המקרים, הם הופצצו בהתראות לאיפוס סיסמת ה-Apple ID שלהם ובהמשך קיבלו שיחה מתמיכת אפל מזויפת דקות או ימים לאחר מכן. חשוב לציין שאפל לעולם לא מתקשרת למשתמשים אלא אם כן המשתמשים עצמם ביקשו זאת באתר האינטרנט או האפליקציה שלה.
אפל טרם הגיבה בעניין או פרסמה עדכון שמונע מתוקפים לשלוח בקשות מרובות לאיפוס סיסמה. כעת, הדרך הטובה ביותר למנוע מתקפות מסוג זה היא לעולם לא לשתף את הקוד לאיפוס סיסמת ה-Apple ID שלכם עם אנשים אחרים.
Loading ...