防范 iPhone 密码重置攻击：操作方法

针对 iPhone 的最新攻击之一是恶意方滥用 Apple ID 密码重置系统，通过 iOS 要求接管用户的帐户来轰炸用户。 以下是如何防范 iPhone 密码重置攻击（通常称为“MFA 轰炸”）。

我们最近听说 Apple 用户成为 MFA 轰炸（也称为 MFA 疲劳或推送轰炸）的目标。 这不是新的攻击，但它可能是一个变相的骗局，因为它会向受害者发送官方的 iOS 密码重置提示。

详细介绍如下： 安全问题 （通过 帕斯·帕特尔），滥用此漏洞的攻击者似乎通过 Apple 用户的电话号码进行攻击，他们可以使用 100 多个 MFA（多重身份验证）系统轰炸您的 iPhone 和其他 Apple 设备，提示您重置 Apple ID 密码。

如何防范 iPhone 密码重置攻击

1. 退后，退后，退后
   • 由于密码重置请求是系统范围的警报，因此听起来很有说服力 – 但请务必检查 “不允许” 对于他们所有人
   • 攻击者压倒受害者的一种方法是用数百项索赔轰炸他们，有时会持续几天 – 继续检查 “不允许” 可以选择使用下面的步骤 3
   • 注意：如果您在网络上看到密码重置提示，则可能是其他网络钓鱼诈骗， 关闭页面 因为任一按钮都可能导致恶意链接
2. 请勿接听电话 – 即使来电显示显示“Apple 支持”或类似内容
   • 攻击者使用电话欺骗，可以使传入号码显示为官方 Apple 支持电话号码，并且可能能够验证个人信息，使诈骗看起来合法
   • 接下来，他们会尝试从您那里获取一次性密码来接管您的 Apple 帐户
   • 如果有任何疑问，请拒绝来电 – 并给 Apple 回电（美国为 800.275.2273） – 呼叫欺骗将无法拦截您拨打真实 Apple 的电话
   • 苹果强调了这一点 不会成功 拨出电话“除非客户要求联系”，并且您必须 切勿与任何人共享一次性代码
3. 暂时更改您的电话号码 与您的 Apple ID 关联
   • 如果您不断收到提示，更改与您的 Apple ID 关联的电话号码应该可以阻止这些提示
   • 但是，请记住 这会干扰 iMessage 和 FaceTime

更多细节

如中所述 安全问题 Apple ID 密码重置系统似乎存在速率限制问题。

什么是设计合理的身份验证系统，当用户不执行第一个请求时，它会在几分钟内发送数十个更改密码的请求？ 这可能是苹果系统的一个错误造成的吗？

我们希望苹果能够解决这个问题，让恶意方无法滥用这个系统。 但不幸的是，密码重置骗局已经败露 用户至少两年 （可能更多）。

一名受害者最近透露，一位苹果高级工程师建议他打开 Apple ID 的恢复密钥功能，以停止密码重置通知。 然而，在进一步的测试中，发现情况并非如此，Krebs on Security Verified Apple Recovery Key 并不会阻止密码重置提示。

有关的：

图片由 9to5Mac 提供