У ЗША распаўсюджваецца новы спосаб крадзяжу акаўнта карыстальнікаў Apple: зламыснікі адпраўляюць сотні запытаў на змену пароля Apple ID і падманам атрымліваюць код ад карыстальніка.
У ЗША распаўсюджваецца новы спосаб крадзяжу акаўнта карыстальнікаў Apple: зламыснікі адпраўляюць сотні запытаў на змену пароля Apple ID і падманам атрымліваюць код ад карыстальніка.
Некалькі карыстальнікаў паведамілі, што сталі ахвярамі фішынгу. На іх прылады прыходзяць дзясяткі сістэмных запытаў пра змену пароля, якія не дазваляюць карыстацца смартфонам, пакуль не будуць закрытыя ўсе паведамленні. Пасля гэтага ахвярам тэлефануюць ашуканцы, прадстаўляюцца службай падтрымкі Apple і просяць назваць аднаразовы код.
Звычайна гэты спосаб атакі называюць пуш-бомбінгам або «MFA-стомленасцю». Зламыснікі выкарыстоўваюць уразлівасць шматфактарнай сістэмы аўтэнтыфікацыі (MFA), каб адпраўляць мноства запытаў пра змену лагіна і пароля. Пасля адпраўкі апавяшчэнняў яны падмяняюць тэлефонны нумар і тэлефануюць, называючыся тэхпадтрымкай.
Адзін з пацярпелых — бізнэсовец Парф Патэль. «Адказваючы на званок, я быў вельмі насцярожаны і спытаў, ці могуць яны назваць мае звесткі, і пасля хуткага перастуку клавіш яны выдалі мне абсалютна дакладныя звесткі», — паведаміў ён. Паводле словах бізнэсмена, ашуканцы не змаглі назваць яго сапраўднае імя, а вымавілі тое, якое ён аднойчы бачыў сярод выстаўленых на продаж даных.
Пасля таго, як карыстальнік перадае аднаразовы код скідання Apple ID, ашуканцы могуць скінуць пароль уліковага запісу і заблакаваць карыстальніка, а таксама выдаліць усе даныя з усіх яго прылад. У рэальнай службе падтрымкі Apple нагадалі, што супрацоўнікі ніколі самі не тэлефануюць карыстальнікам і робяць гэта толькі на запыт уладальніка прылад кампаніі.
Верагодна, што для нападу выкарыстоўваецца сайт аднаўлення пароля Apple. Для адпраўкі сістэмнага паведамлення пра змену пароля дастаткова ўвесці прывязаны да Apple ID нумар тэлефона і вырашыць капчу. На думку экспертаў, праблема ў працы сайта, і зламыснікі нейкім чынам здолелі абысці абмежаванне на колькасць запытаў на скідванне пароля.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
Сх*енали это новый способ? Старый как мамонт - социнженерия в стиле "звонок из банка"