针对 iPhone 的最新攻击之一是恶意方滥用 Apple ID 密码重置系统,通过 iOS 要求接管用户的帐户来轰炸用户。 以下是如何防范 iPhone 密码重置攻击(通常称为“MFA 轰炸”)。
我们最近听说 Apple 用户成为 MFA 轰炸(也称为 MFA 疲劳或推送轰炸)的目标。 这不是新的攻击,但它可能是一个变相的骗局,因为它会向受害者发送官方的 iOS 密码重置提示。
详细介绍如下: 安全问题 (通过 帕斯·帕特尔),滥用此漏洞的攻击者似乎通过 Apple 用户的电话号码进行攻击,他们可以使用 100 多个 MFA(多重身份验证)系统轰炸您的 iPhone 和其他 Apple 设备,提示您重置 Apple ID 密码。
如何防范 iPhone 密码重置攻击
- 退后,退后,退后
- 由于密码重置请求是系统范围的警报,因此听起来很有说服力 – 但请务必检查 “不允许” 对于他们所有人
- 攻击者压倒受害者的一种方法是用数百项索赔轰炸他们,有时会持续几天 – 继续检查 “不允许” 可以选择使用下面的步骤 3
- 注意:如果您在网络上看到密码重置提示,则可能是其他网络钓鱼诈骗, 关闭页面 因为任一按钮都可能导致恶意链接
- 请勿接听电话 – 即使来电显示显示“Apple 支持”或类似内容
- 攻击者使用电话欺骗,可以使传入号码显示为官方 Apple 支持电话号码,并且可能能够验证个人信息,使诈骗看起来合法
- 接下来,他们会尝试从您那里获取一次性密码来接管您的 Apple 帐户
- 如果有任何疑问,请拒绝来电 – 并给 Apple 回电(美国为 800.275.2273) – 呼叫欺骗将无法拦截您拨打真实 Apple 的电话
- 苹果强调了这一点 不会成功 拨出电话“除非客户要求联系”,并且您必须 切勿与任何人共享一次性代码
- 暂时更改您的电话号码 与您的 Apple ID 关联
- 如果您不断收到提示,更改与您的 Apple ID 关联的电话号码应该可以阻止这些提示
- 但是,请记住 这会干扰 iMessage 和 FaceTime
更多细节
如中所述 安全问题 Apple ID 密码重置系统似乎存在速率限制问题。
什么是设计合理的身份验证系统,当用户不执行第一个请求时,它会在几分钟内发送数十个更改密码的请求? 这可能是苹果系统的一个错误造成的吗?
我们希望苹果能够解决这个问题,让恶意方无法滥用这个系统。 但不幸的是,密码重置骗局已经败露 用户至少两年 (可能更多)。
一名受害者最近透露,一位苹果高级工程师建议他打开 Apple ID 的恢复密钥功能,以停止密码重置通知。 然而,在进一步的测试中,发现情况并非如此,Krebs on Security Verified Apple Recovery Key 并不会阻止密码重置提示。
有关的:
图片由 9to5Mac 提供
“极端问题解决者。旅行忍者。典型的网络迷。浏览器。作家。读者。无法治愈的组织者。”
More Stories
Android 15/One UI 7 正在针对 Galaxy A53、A54 等进行测试
《Helldivers 2》的重大更新招致了负面评价,而且玩家数量并未增加一倍
据报道,谷歌 Pixel 9 将获得一些新的 Gemini AI 功能