网络罪犯正运用苹果系统重置密码功能的一个“漏洞”,不断发送重置密码通知给用户,让他们的手机不断收到通知,从而造成他们混乱并犯下错误,以骗取用户信息。
新加坡网络安全局(CSA)4月9日在脸书发文提醒苹果手机用户,如果不断收到提示要重置苹果户头密码,应全部拒绝。
用户应持续更新操作系统 以获最新安全补丁
网安局指出,网络罪犯通过这个方式进行钓鱼攻击,以骗取用户的信息。罪犯也有可能冒充苹果公司的职员拨电给用户,因此公众应提高警惕并拒绝接听陌生来电。此外,用户应持续更新操作系统,以获得最新安全补丁(security patch)的保护。
受访网安专家向《联合早报》解释,这个攻击模式称为“推送轰炸攻击”(push bombing)或多重认证疲劳攻击,目的就是通过不断发送通知来让用户感到混淆,让用户犯错而重置密码,导致用户最终无法登录自己的苹果户头,或导致用户的身份被盗窃。
手机网络安全公司Appdome的移动应用程序安全防护专家金约翰(Jan Sysmans)说,这类攻击模式的目的就是让用户感到疲劳,从而犯错。“对方只要有与受害者苹果ID相连的电话号码,就能加入数据库内并让整个过程自动化,不断发出重置密码的请求。”
新思科技东南亚软件科技工程总监林素安说,这个攻击是通过滥用多重认证系统的一个“漏洞”,向用户发出推送询问是否要重置密码。“这个推送会让用户无法使用手机,直到他们选择‘允许’或‘不允许’。”
他说,一些受害者按下‘允许’后,就会出现一个六位数密码的页面,用户下来就会收到冒充苹果公司职员的来电,从而提升整个诈骗的可信度。
Check Point Software Technologies Harmony电子邮件研究员杰里米·富克斯(Jeremy Fuchs)说,用户在重置密码时,新的密码就落入网络罪犯的手中,导致用户的设备可能被罪犯远程操控。“在一些通报中,一些用户如果一直按‘不允许’,也可能收到网络罪犯冒充苹果公司职员的来电。”
专家:苹果不会通过电邮电话询问敏感资料
然而,受访专家指出,苹果不会通过职员拨电或通过电邮和电话,询问用户的密码或认证码,因此接到这类电话就应立即警惕和小心。
至于网络罪犯今后是否会更针对以往相对安全的苹果iOS系统,专家指网络罪犯一直都在寻找不同系统的缺陷,并制定相应的攻击策略。
杰里米说,iOS以往就曾被针对,日后也继续会是网络罪犯的攻击目标之一。“任何一种器材,无论是使用什么操作系统,都可能成为潜在的攻击目标。而且苹果拥有庞大的用户群,因此成为‘诱人’的目标。”
Keeper Security网络安全专家安妮·卡特勒(Anne Cutler)则说,钓鱼攻击会持续进化,并变得越来越复杂,但用户只要采取简单的措施,就能避免成为受害者。
例如,每个户头都应设立独特的密码,并使用双重认证来进一步保护。“如果重置密码后一直收到不重置推送,就应该提高警惕。永远不要泄漏一次性密码等敏感资料,并记住像苹果这样的正当机构,不会通过这样的方式要求用户提供敏感资料。”
赞
