针对苹果设备用户而来的新型诈骗攻击正在快速蔓延,根据知名资安网站Krebs on Security最新揭露,一波被称为「多因素验证轰炸」(MFA Bombing)的攻击行动,正让全球许多iPhone用户遭遇海量的Apple ID密码重置通知,导致陷入诈骗陷阱。
重设Apple ID密码成诈骗新目标,用户遭百封轰炸
报道指出,已经有不少iPhone用户近来接连收到数十甚至上百则Apple ID密码重置的提示通知。 有网友宣称自己一天内收到超过 100 条密码重设请求通知,甚至还接到一通自称来自「苹果技术支持」的诈骗电话。
比较令网友震惊的是苹果技术支持诈骗电话,假冒客服外,还能准确说出用户出生年月日、电话、电子邮件,甚至连住址资料也都全掌握。
所谓的「多因素验证轰炸」(MFA Bombing)是指攻击者通过大量验证请求来瘫痪用户警觉心,进而设法诱导授权,过去这类攻击,都曾针对大型企业的内部系统发动,如今已进化并针对一般用户展开。
如今诈骗集团也开始朝向社交攻击,主要目的可能是要诱导使用户交出一次性验证码(2FA),藉此能成功夺取Apple ID帐号控制权,甚至将原有装置锁定或移除,也能趁机进行勒索。
也有一名受害者就算更换新手机仍不时收到重置请求通知,并创建全新的Apple账号,也未必能摆脱攻击目标,怀疑攻击者可能是针对电话号码持续发动攻击。
苹果回应不会主动发起密码重置,吁用户警惕诈骗
对此,苹果公司(Apple)也对向外媒表示,目前已知此诈骗新手法,再次强调苹果绝不会在未经用户要求的情况下,系统自动主动发送密码重置通知。
苹果在声明中指出,如果你未有主动联系客服,却接到声称来自苹果支持客服来电或短信,要求提供帐号资料或验证码,请直接挂断或忽略。
当前诈骗集团也会经常冒用苹果支持名义,藉由声称Apple ID账户异常或安全风险,引导用户交出关键信息,甚至诱骗购买Apple礼品卡。
资安专家建议,苹果用户应该要提高警觉,并善用苹果提供的官方客服渠道回报可疑活动,同时也应避免点击任何来路不明的链接或提供敏感个资。
