Фишинговые атаки с использованием функции сброса пароля Apple становятся все более распространенными, согласно отчету KrebsOnSecurity. Множество пользователей Apple стали мишенью атаки, которая забрасывает их бесконечным потоком уведомлений или сообщений о многофакторной аутентификации (MFA) в попытке вызвать панику, чтобы они положительно отреагировали на социальную инженерию.

Злоумышленник может заставить iPhone, Apple Watch или Mac цели использовать системные запросы на изменение пароля снова и снова. Поскольку запросы на пароль нацелены на Apple ID, они всплывают на всех устройствах пользователя. Уведомления делают все связанные продукты Apple непригодными для использования до тех пор, пока всплывающие окна не будут закрыты одно за другим на каждом устройстве. Пользователь Твиттера Парф Пател недавно поделился своим опытом, будучи целью атаки, и сказал, что не мог использовать свои устройства, пока не нажал «Не разрешать» более чем на 100 уведомлений.

Фактическое всплывающее окно не может быть использовано для получения доступа к устройству Apple и служит прикрытием для злоумышленников, чтобы посеять страх у цели. После потока уведомлений злоумышленник звонит, используя поддельный номер, который выглядит как исходящий от Apple. Во время этих звонков злоумышленник подтверждает, что учетная запись жертвы находится под атакой, и что для ее прекращения необходима конфиденциальная информация. Похоже, что злоумышленник охотится за одноразовым кодом для подтверждения сброса пароля или попытки входа.

В случае Патела злоумышленник использовал информацию, слитую с веб-сайта поиска людей, которая включала имя, текущий адрес, предыдущий адрес и номер телефона, что давало человеку, пытающемуся получить доступ к его учетной записи, достаточно информации для работы. Злоумышленник случайно ошибся в имени, и он также стал подозрительным, потому что его попросили предоставить одноразовый код, который Apple явно отправляет с сообщением, подтверждающим, что Apple не запрашивает эти коды.

Атака зависит от того, что у злоумышленника есть доступ к адресу электронной почты и номеру телефона, связанным с ‌Apple ID‌, как минимум, и, учитывая описание происходящего, вполне вероятно, что злоумышленники также имели доступ к паролю ‌Apple ID‌ жертвы из утечек баз данных и других источников. Одноразовые коды чаще всего срабатывают как вторичная мера безопасности, поэтому злоумышленник отправляет спам-уведомления, звонит жертве, чтобы «спасти» ее от атаки, входит в ‌Apple ID‌ с украденной информацией и паролем, и инициирует одноразовый код. Если жертва передаст код в этот момент, злоумышленник получит полный доступ к ‌Apple ID‌.

KrebsOnSecurity изучил эту проблему и обнаружил, что злоумышленники, по-видимому, используют страницу Apple для забытого пароля ‌Apple ID‌ для отправки спама с уведомлениями. Эта страница требует адрес электронной почты или номер телефона ‌Apple ID‌ и имеет CAPTCHA. Когда вводится адрес электронной почты, страница отображает последние две цифры номера телефона, связанного с учетной записью Apple, а ввод недостающих цифр и нажатие кнопки отправки вызывает системное оповещение.

Неясно, как злоумышленники злоупотребляют системой для отправки нескольких сообщений пользователям Apple, но это, по-видимому, ошибка, которая эксплуатируется. Маловероятно, что система Apple предназначена для отправки более 100 запросов, поэтому, предположительно, лимит частоты обходится.

Владельцам устройств Apple, на которых нацелена эта атака, следует сохранять спокойствие и не предоставлять конфиденциальную информацию тому, кто звонит, даже если телефонный звонок выглядит как исходящий от Apple. Подделка номера телефона — это простая вещь, поэтому лучший курс действий — повесить трубку и позвонить напрямую в службу поддержки Apple. Никогда не бывает такой ситуации, когда одноразовый код должен быть передан другому человеку, а Apple никогда не будет запрашивать код.

Обновление: Эта статья была обновлена для уточнения принципа работы атаки. Предыдущая версия предполагала, что ‌Apple ID‌ может быть доступен, если кто-то нажмет «Разрешить» в одном из всплывающих окон с запросом пароля, но это не соответствует действительности. Это сложная многоступенчатая атака, требующая социальной инженерии, но спам для сброса пароля является компонентом, который Apple, надеюсь, исправит в будущем обновлении.