Несколько пользователей устройств Apple сообщили, что стали жертвами новой разновидности фишинга. На их устройства были отправлены десятки системных запросов о смене пароля, блокирующих возможность использования устройства до закрытия всех запросов с согласием или отказом. Затем мошенники звонили жертвам, выдавая себя за службу поддержки Apple, и утверждали, что учётная запись находится под атакой и необходимо "проверить" одноразовый код.
Один из пострадавших, Парф Патель, предприниматель и основатель стартапа в сфере искусственного интеллекта, рассказал о нападении в Twitter/X 23 марта. Он описал его как пуш-бомбинг или "MFA-усталость". Злоумышленники используют уязвимости многофакторной аутентификации (MFA), чтобы засыпать устройство запросами о смене логина или пароля.
"Все мои устройства одновременно сработали: часы, ноутбук, телефон. Уведомления выглядели как системные запросы на подтверждение сброса пароля учётной записи Apple, и я не мог пользоваться телефоном, пока не закрыл их все, а их было больше сотни," - рассказал Патель в интервью KrebsOnSecurity.
После отправки серии уведомлений злоумышленники звонили жертве, подменяя телефонный номер на реальный номер техподдержки Apple.
"Я был очень осторожен, когда ответил на звонок, и спросил, могут ли они назвать мои данные. Они моментально предоставили мне абсолютно точные данные", - вспомнил Патель. Кроме того, они назвали его настоящее имя. По словам Пателя, имя, которое ему назвали, он ранее видел среди выставленных на продажу данных на сайте PeopleDataLabs.
Цель злоумышленников - уговорить пользователя отправить им одноразовый код сброса Apple ID. Получив его, они могут сбросить пароль учётной записи и заблокировать пользователя, а также удалить все данные со всех его устройств.
Патель не единственная жертва. В конце февраля другой пользователь, владелец криптовалютного хедж-фонда, сообщил о подобной атаке.
"Я отказался от смены пароля, но мгновенно получил ещё 30 уведомлений. Я подумал, что случайно нажал на какую-то кнопку и отклонил их все," - рассказал он. По его словам, злоумышленники атаковали его несколько дней, но в какой-то момент он получил звонок из службы поддержки Apple. "Я сказал, что сам перезвоню в Apple. Я так и сделал, и мне сказали, что Apple никогда не звонит клиентам, если только они сами не запросили звонок".
Третий пользователь был советован активировать ключ восстановления учётной записи Apple ID при звонке в службу поддержки Apple, но это не помогло. Вероятно, для атаки используется сайт восстановления пароля Apple. Для отправки системного уведомления о смене пароля достаточно ввести номер телефона, привязанный к Apple ID, и решить капчу.
"Какая нормально спроектированная система аутентификации будет отправлять десятки запросов на смену пароля в секунду, когда пользователь не отреагировал на предыдущие?" - спрашивает Брайан Кребс из KrebsOnSecurity.
месяц
неделя
день