▲蘋果漏洞導致釣魚程式入侵。(圖/路透)
記者陳俐穎/綜合報導
根據資安機構 KrebsonSecurity 的最新訊息表示,有心人士利用蘋果重設密碼機制,發狂對用戶發送簡訊,引誘其重設密碼,盜取一次性驗證碼,用來盜取用戶帳號資料,進而控制用戶的手機。
幾位蘋果用戶最近報告稱,遭遇精心設計的網路釣魚攻擊,涉及蘋果密碼重置功能中的一個錯誤。在這種情況下,目標的蘋果裝置被迫顯示數十個系統級提示,這些提示會阻止用戶使用手機,直到接收者對每個提示做出「允許」或「不允許」回應。
假設用戶成功地在無數個密碼重置請求中沒有按錯按鈕,詐騙者就會打電話給受害者,同時在來電顯示中假裝是蘋果客服,稱用戶的帳戶受到攻擊,並且需要驗證 一次性代碼。
許多用戶出現近百條的彈跳視窗,而用戶終於關閉之後,假冒的客服人員就會打電話來,目標是觸發將 Apple ID 重置代碼發送到用戶的手機,這是一條包含一次性密碼的簡訊。
如果使用者提供一次性代碼,攻擊者就可以重設帳戶密碼並將使用者鎖定。然後還可以遠端控制用戶的所有蘋果產品。
讀者迴響