V rámci alarmujúceho trendu, o ktorom informoval portál KrebsOnSecurity, narastá počet phishingových útokov využívajúcich funkciu obnovenia hesla spoločnosti Apple. Používatelia zariadení sú zaplavovaní neustálymi upozorneniami a správami o viacfaktorovom overovaní (MFA), ktoré sú organizované tak, aby v nich vyvolali pocit paniky a manipulovali ich prostredníctvom taktík sociálneho inžinierstva. Téme sa venoval Macrumors.
Počas týchto útokov sú obete svedkami prívalu výziev na zmenu hesla na úrovni systému na svojich iPhonoch, hodinkách Apple Watch alebo počítačoch Mac, ktoré opakovane požadujú súhlas so zmenou hesla Apple ID.
Tento nápor upozornení sa týka všetkých zariadení spojených s používateľovým Apple ID a spôsobuje, že sú prakticky nepoužiteľné, kým sa každé upozornenie jednotlivo neodvolá.
Jeden používateľ, Parth Patel, opísal svoje „utrpenie„, keď musel odmietnuť viac ako sto takýchto oznámení, kým sa mu podarilo získať kontrolu nad svojimi zariadeniami.
Zavolá vám niekto priamo „Apple“, aby útoky zastavil
Počiatočný nával vyskakovacích okien síce priamo neumožňuje neoprávnený prístup, ale vytvára predpoklady na to, aby útočníci vyvolali vo svojich cieľoch strach. Následne útočníci iniciujú telefonát z čísla sfalšovaného tak, aby vyzeralo, že prichádza priamo od spoločnosti Apple, v ktorom tvrdia, že účet obete je kompromitovaný a požadujú citlivé informácie na zastavenie útoku.
Zvyčajne sa útočníci snažia získať jednorazový kód, ktorý je kľúčový na resetovanie hesla alebo overenie pokusu o prihlásenie. Ak im ho dáte, prídete o účet.
Patelova skúsenosť poukázala na sofistikovanú povahu týchto útokov, pri ktorých páchatelia využívajú osobné údaje získané z webovej stránky na vyhľadávanie ľudí. Napriek tomu, že útočníci disponovali presnými údajmi, ako sú adresy a telefónne čísla, ich žiadosť o jednorazový kód vzbudila podozrenie, najmä preto, že spoločnosť Apple výslovne neodporúča zdieľať tieto kódy.
Tieto podvodné schémy závisia od toho, či útočníci majú aspoň e-mailovú adresu a telefónne číslo spojené s Apple ID. Predpokladá sa, že páchatelia môžu mať k dispozícii aj heslo k Apple ID, ktoré získali pri narušení databázy. Vďaka dvojfaktorovému overeniu však stále nemajú prístup k účtu obete.
Útočníci sa bombardovaním obete notifikačným spamom a predstieraním pomoci skrz telefonát pokúšajú prihlásiť pomocou ukradnutých poverení, čím si vyžiadajú jednorazový kód.
Útočníci našli dieru v systéme spoločnosti Apple
Vyšetrovanie spoločnosti KrebsOnSecurity naznačuje, že útočníci využívajú potenciálnu medzeru na stránke zabudnutého hesla Apple ID, ktorá umožňuje rozosielanie spamových oznámení.
Presný spôsob obchádzania systému spoločnosti Apple na odosielanie nadmerného počtu správ zostáva nejasný, ale zdá sa, že ide o chybu, ktorá sa aktívne zneužíva a ľudia sa s ňou stretávajú čoraz častejšie. Obete sa objavujú po celom svete.
Majitelia Apple zariadení, ktorí čelia takýmto útokom, by mali zachovať pokoj a vyhnúť sa zdieľaniu citlivých informácií s cudzími osobami, ktoré sa vydávajú za podporu spoločnosti Apple. Ešte raz upozorňujeme, že Apple od vás tento kód nikdy a za žiadnych okolností žiadať nebude.
Vzhľadom na jednoduchosť falšovania telefónnych čísel sa odporúča reagovať zrušením vyskakovacích okien (aj keď to môže byť namáhavé) a priamym kontaktovaním podpory spoločnosti Apple. Jej číslo sa dá nájsť na oficiálnych webových stránkach.
Je dôležité si uvedomiť, že jednorazové kódy sú určené len pre vaše oči a spoločnosť Apple tieto kódy nikdy nebude vyžadovať cez telefón. Očakáva sa, že spoločnosť Apple bude tento problém riešiť v nadchádzajúcej aktualizácii, aby zabránila ďalšiemu zneužívaniu svojho systému.
Tri tipy, ako nenaletieť na phishing
- Obozretnosť pri otváraní e-mailov a správ: Vždy dôkladne skontrolujte odosielateľa e-mailu alebo správy a buďte opatrní pri otváraní príloh, alebo klikaní na odkazy od neznámych alebo podozrivých zdrojov (vždy si dobre skontrolujte aj URL adresu, či súhlasí s oficiálnou URL adresou webu). Pozor na e-maily alebo správy, ktoré vyvolávajú pocit naliehavosti alebo požadujú osobné údaje. Často prichádzajú od bánk, poisťovní, pošty alebo kuriérov.
- Používanie dvojfaktorovej autentifikácie (2FA): Aktivácia dvojfaktorovej autentifikácie pre vaše online účty výrazne zvyšuje bezpečnosť, pretože aj keď by útočník získal vaše heslo, bez druhého overovacieho kroku (napr. SMS kód alebo autentifikačná aplikácia) sa do účtu nedostane.
- Šírte o Phishingu povedomie: Najlepšia obrana je v tomto prípade prevencia. Phishing je často zameraný na starších používateľov internetu, ktorí nemajú toľko skúseností s počítačmi, ale naletieť naň môže úplne každý. Aj preto sa o týchto praktikách rozprávajte so svojimi blízkymi a upozornite ich na to, na čo si musia dávať najväčší pozor.
Nezabudnite tiež na náš SvetApple bazár, v ktorom nájdete viac ako 1000 inzerátov na rôzne Apple zariadenia. Tie sem môžete pridať úplne zadarmo kliknutím na tento odkaz.