Luis Corrons 2024年4月29日
一些Apple用户报告了利用密码重置功能进行钓鱼攻击的情况。
你注意到iPhone上出现了关于你密码的系统提示。你点击了“拒绝”。然后,这种提示不断出现,一次又一次。到某个时候,你可能会感到烦躁或开始恐慌,进而点击“允许”。
随后,你接到了一个自称是“Apple客服”的电话,帮助你重置密码,但当他们确认你的信息时,你发现他们连你的名字都叫错了。这正是一个人的经历,他幸运地在为时已晚之前识破了这个把戏。
如果他没有意识到有问题,他可能就会被锁定账户,而攻击者则可以获取他的所有个人信息。这就是这种新的钓鱼攻击模式,称为MFA轰炸或推送轰炸的目的。
MFA轰炸或推送轰炸是一种新的钓鱼技术,展示了战术的复杂演变它利用了技术漏洞和人类心理。
攻击者利用系统提示对用户的设备进行轰炸,直到用户感到“通知疲劳”。一旦被淹没,受害者更可能错误地批准恶意请求。
在提示激增后,用户会接到一个自称来自Apple支持部门的电话。显示的电话号码可能是伪造的,看起来像是Apple的官方支持号码,从而增加了通话的合法性。
在这个电话中,“Apple客服”会告诉用户他们的账户正在遭受攻击或处于风险之中,激发用户的紧迫感和恐惧感。然后,他们会进行钓鱼推销。攻击者声称为了保护账户,他们需要“验证”用户的身份或账户状态,使用Apple据称已发送到用户设备的一次性密码。
如果用户相信了,他们可能会将一次性密码提供给来电者。这个密码是一个关键的信息,在正常情况下,用于确认账户持有者的身份,以便进行合法的密码重置或账户解锁。
一旦攻击者获得了一次性密码,他们便可以完成密码重置过程。这将有效地将合法用户锁定在外,而攻击者则可以访问用户的Apple ID及其关联服务。
为了防御此类攻击,至关重要的是:
黑洞加速器app记住对你未请求的提示点击“拒绝”。如果你发现这些提示不断涌现,请举报它们。对于要求敏感信息的来电保持怀疑,即使它们似乎来自合法来源。始终验证与你通话的人的身份。如果感觉不对,挂断电话,并拨打公司网站上的官方支持号码。使用额外的验证步骤,例如设置恢复密钥,以为你的账户增加额外的安全层。随着攻击者不断改进他们的策略,行业必须持续调整其防御。为了抑制这些攻击,科技公司需要审查他们的系统设计,限制一次能进行的密码请求次数。
此外,行业之间持续分享有关此类威胁及有效对策的信息,对于领先于攻击者来说至关重要。及时解决这些问题会产生真正的影响用户和科技提供者都需要对此进行报告。
虽然具体的漏洞和攻击方法可能会变化,但我们必须不断努力获取主动权。持续改善系统,报告正在发生的情况,并实施强有力的安全措施至关重要。
