technologia
Chroń się przed atakami związanymi z resetowaniem hasła iPhone’a: przewodnik
W jednym z najnowszych ataków na iPhone’a złośliwe strony wykorzystują system resetowania hasła Apple ID, aby zasypywać użytkowników iOS żądaniami przejęcia ich kont. Oto, jak chronić się przed atakami polegającymi na resetowaniu hasła iPhone’a (często nazywanymi „bombardowaniem MFA”).
Niedawno usłyszeliśmy o użytkownikach Apple, którzy padli ofiarą bombardowań MFA (zwanych także bombardowaniami MFA zmęczeniowymi lub bombardowaniami typu push). Nie jest to nowy atak, ale może być przekonującym oszustwem, ponieważ wysyła ofiarom oficjalne prośby o zresetowanie hasła do systemu iOS.
Jak szczegółowo opisał Rak ponad bezpieczeństwo (powyżej Partha Patel), osoby atakujące wykorzystujące tę lukę prawdopodobnie robią to za pośrednictwem numeru telefonu użytkownika Apple, narażając iPhone’a i inne urządzenia Apple na ponad 100 monitów systemu uwierzytelniania wieloskładnikowego (MFA) o zresetowanie Twojego Apple ID. Bombardowanie hasłami.
Jak chronić się przed atakami polegającymi na resetowaniu hasła do iPhone’a
- Upadek, upadek, upadek
- Ponieważ prośby o zresetowanie hasła są alertem na poziomie systemu, wydaje się to przekonujące, ale upewnij się, że dokonałeś wyboru „Nie pozwalaj” dla wszystkich
- Jednym ze sposobów, w jaki atakujący mogą zmęczyć swoje ofiary, jest bombardowanie ich setkami żądań, czasami przez kilka dni – wybieraj dalej „Nie pozwalaj” i opcjonalnie wykonaj krok 3 poniżej
- Uwaga: jeśli zobaczysz w Internecie prośbę o zresetowanie hasła, która może być kolejnym oszustwem typu phishing, Zamknij stronę ponieważ każdy przycisk może prowadzić do złośliwego łącza
- Nie odbieraj telefonów – nawet jeśli na identyfikatorze dzwoniącego widnieje informacja „Wsparcie Apple” lub coś podobnego
- Atakujący wykorzystują fałszowanie połączeń, co pozwala na wyświetlanie numeru przychodzącego jako oficjalnego numeru telefonu pomocy technicznej Apple i może pozwolić im na weryfikację danych osobowych, dzięki czemu oszustwo będzie wyglądało na uzasadnione
- Następnie próbują uzyskać od Ciebie jednorazowy kod dostępu, aby przejąć Twoje konto Apple
- Jeśli masz jakiekolwiek wątpliwości, odrzuć połączenie i oddzwoń do Apple (800.275.2273 w USA) – fałszowanie połączeń nie powinno być w stanie przechwycić Twojego połączenia wychodzącego do prawdziwego Apple
- Apple to podkreśla nie zrobię połączeń wychodzących „chyba, że klient poprosi o kontakt” i tak należy postępować Nigdy nie przekazuj unikalnych kodów osobom trzecim
- Tymczasowo zmień numer telefonu powiązane z Twoim Apple ID
- Jeśli nadal będziesz otrzymywać monity, zaprzestań ich zmiany, zmieniając numer telefonu powiązany z Twoim Apple ID
- Jednak pamiętaj Powoduje to problemy z iMessage i FaceTime
Więcej szczegółów
Jak wspomniano w Rak ponad bezpieczeństwo Z tego artykułu wynika, że występuje problem z ograniczeniem szybkości w systemie resetowania hasła Apple ID.
Jaki prawidłowo zaprojektowany system uwierzytelniania wysłałby dziesiątki próśb o zmianę hasła w ciągu kilku chwil, gdy użytkownik nawet nie odpowiedział na początkowe prośby? Czy może to być wynikiem błędu w systemach Apple?
Mamy nadzieję, że Apple pracuje nad rozwiązaniem, dzięki któremu złośliwe strony nie będą mogły nadużyć tego systemu. Niestety, oszustwo związane z resetowaniem hasła zostało podkreślone przez Użytkownik od co najmniej dwóch lat (prawdopodobnie więcej).
Niedawna ofiara podzieliła się informacją, że starszy inżynier w Apple poradził mu, aby włączył funkcję odzyskiwania klucza dla swojego Apple ID, aby zatrzymać powiadomienia o resetowaniu hasła. Jednak po dalszych testach okazało się, że tak nie było i Krebs ze zweryfikowanym pod kątem bezpieczeństwa kluczem Apple Recovery Key nie zapobiega monitowi o zresetowanie hasła.
Powiązany:
Zdjęcia z 9to5Mac
FTC: Korzystamy z generujących dochód automatycznych linków partnerskich. Więcej.
„Certyfikowany guru kulinarny. Internetowy maniak. Miłośnik bekonu. Miłośnik telewizji. Zapalony pisarz. Gracz.”
