Специалисты по ИБ из KrebsOnSecurity предупредили пользователей iPhone (а также Apple Watch и Mac) о продвинутой фишинговой атаке, в рамках которой смартфоны или гаджеты получают сотни запросов на сброс пароля Apple ID, а для избежания потери своих данных нужно отклонить вручную каждый запрос и случайно не нажать кнопку с надписью Allow (Разрешить) вместо Don’t Allow (Не разрешать).
По мнению экспертов, такие фишинговые атаки с использованием, по-видимому, ошибки в функции сброса пароля Apple, становятся все более распространёнными. В итоге пользователи получают бесконечный поток уведомлений или сообщений многофакторной аутентификации (MFA) в попытке заставить их одобрить смену пароля Apple ID.
Фактически злоумышленник может заставить iPhone, Apple Watch или Mac жертвы снова и снова отображать тексты подтверждения изменения пароля на системном уровне в надежде, что пользователь по ошибке одобрит запрос или устанет от уведомлений и нажмёт на кнопку Allow. Если запрос одобрен, злоумышленник может изменить пароль Apple ID и заблокировать текущую учётную запись пользователя.
Примечательно, что такие фишинговые запросы на сброс пароля нацелены на Apple ID, поэтому они появляются на всех устройствах пользователя. Уведомления делают невозможным использование всех связанных продуктов Apple до тех пор, пока всплывающие окна не будут закрыты по одному на каждом устройстве.
Пользователь Парт Патель поделился своим опытом подобной атаки. Он рассказал, что не мог использовать свои устройства Apple, пока не нажал Don’t Allow на более чем 100 уведомлениях.
Но у злоумышленников в этой кампании был козырь в рукаве. Патель сказал, что после того, как он отклонил все запросы на сброс пароля от Apple, ему на iPhone позвонили и сказали, что это был звонок от службы поддержки Apple (отображаемый номер был 1-800-275-2273, что является настоящим номером линии техподдержки клиентов Apple). «Я беру трубку и чувствую себя очень подозрительно. Поэтому я спрашиваю их, могут ли они проверить некоторую информацию обо мне, и, услышав агрессивные нотки общения с той стороны, злоумышленники дали мне всю информацию обо мне, и она абсолютно точна», — добавил Патель.
Патель выяснил, что цель голосовых фишеров — отправить на устройство пользователя код сброса Apple ID, который представляет собой текстовое сообщение, содержащее одноразовый пароль и убедить выполнить нужные действия. Если пользователь предоставит этот одноразовый код, злоумышленники смогут сбросить пароль учётной записи и заблокировать пользователя. Затем они также могут удалённо стереть все устройства Apple пользователя.
Другой пользователь по имени Крис также подтвердил такую атаку со стороны злоумышленников. «На первое уведомление, которое я получил, сразу нажал «Не разрешать», но после этого я получил ещё около 30 уведомлений подряд», — сказал Крис.
Крис рассказал, что злоумышленники продолжали показывать на его устройствах уведомления о сбросе в течение нескольких дней после этого, и в какой-то момент на его iPhone позвонили и сказали, что это от службы поддержки Apple. «Я сказал, что перезвоню им, и повесил трубку, — сказал Крис, демонстрируя должный ответ на такие непрошеные предложения. — Когда я перезвонил в настоящую Apple, они не смогли сказать, обращался ли кто-нибудь ко мне в службу поддержки в тот момент. Они только что сказали, что Apple очень чётко заявляет, что никогда не будет инициировать исходящие звонки клиентам, если только клиент не попросит, чтобы с ним связались», — пояснил Крис.
Ранее в Apple посоветовали другому пользователю, пострадавшему от аналогичной фишинговой атаки, включить опцию безопасности под названием Ключ восстановления, которая предотвращает отправку запроса на сброс пароля на связанные устройства Apple. Эксперты выяснили, что это не так. При посещении страницы «забыли пароль» на сайте Apple у пользователя запрашивается адрес электронной почты и CAPTCHA. После этого на странице отобразятся две последние цифры номера телефона, привязанного к аккаунту Apple. Заполнение пропущенных цифр и нажатие кнопки «Отправить» в этой форме отправит системное предупреждение независимо от того, активировал ли пользователь опцию Ключ восстановления Apple.
Источник: habr.com