Tuesday, November 5, 2024

Προειδοποίηση: Οι χρήστες της Apple έχουν γίνει στόχος σε επιθέσεις phishing που περιλαμβάνουν αιτήματα επαναφοράς κωδικού πρόσβασης

Οι επιθέσεις phishing που εκμεταλλεύονται αυτό που φαίνεται να είναι ένα σφάλμα στη δυνατότητα επαναφοράς κωδικού πρόσβασης της Apple έχουν γίνει ολοένα και πιο συνηθισμένες, σύμφωνα με μια αναφορά από το KrebsOnSecurity. Πολλοί χρήστες της Apple έχουν στοχοποιηθεί σε μια επίθεση που τους βομβαρδίζει με μια ατελείωτη ροή ειδοποιήσεων ή μηνυμάτων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε μια προσπάθεια να τους κάνει να εγκρίνουν μια αλλαγή κωδικού πρόσβασης Apple ID.

Προειδοποίηση: Οι χρήστες της Apple έχουν γίνει στόχος σε επιθέσεις phishing που περιλαμβάνουν αιτήματα επαναφοράς κωδικού πρόσβασης

Ένας εισβολέας μπορεί να προκαλέσει το iPhone, το Apple Watch ή το Mac του στόχου να εμφανίζει κείμενα έγκρισης αλλαγής κωδικού πρόσβασης σε επίπεδο συστήματος ξανά και ξανά, με την ελπίδα ότι το άτομο που στοχεύεται θα εγκρίνει κατά λάθος το αίτημα ή θα κουραστεί από τις ειδοποιήσεις και θα κάνει κλικ στο κουμπί αποδοχής.

Εάν το αίτημα εγκριθεί, ο εισβολέας μπορεί να αλλάξει τον κωδικό πρόσβασης του Apple ID και να κλειδώσει τον χρήστη της Apple από τον λογαριασμό του. Επειδή τα αιτήματα κωδικού πρόσβασης στοχεύουν στο Apple ID, εμφανίζονται σε όλες τις συσκευές ενός χρήστη.

Οι ειδοποιήσεις καθιστούν αδύνατη τη χρήση όλων των συνδεδεμένων προϊόντων Apple μέχρι να παραβλεφθούν τα αναδυόμενα παράθυρα ένα προς ένα σε κάθε συσκευή.

Ο χρήστης του Twitter, Parth Patel, μοιράστηκε πρόσφατα την εμπειρία του να στοχοποιηθεί με την επίθεση και λέει ότι δεν μπορούσε να χρησιμοποιήσει τις συσκευές του μέχρι να κάνει κλικ στο “Don’t Allow” για περισσότερες από 100 ειδοποιήσεις.

Όταν οι εισβολείς δεν μπορούν να πείσουν το άτομο να κάνει κλικ στο “Να επιτρέπεται” στην ειδοποίηση αλλαγής κωδικού πρόσβασης, οι στόχοι λαμβάνουν συχνά τηλεφωνικές κλήσεις που φαίνεται να προέρχονται από την Apple. Σε αυτές τις κλήσεις, ο εισβολέας ισχυρίζεται ότι γνωρίζει ότι το θύμα δέχεται επίθεση και προσπαθεί να πάρει τον κωδικό πρόσβασης μίας χρήσης που αποστέλλεται στον αριθμό τηλεφώνου ενός χρήστη όταν επιχειρεί αλλαγή κωδικού πρόσβασης.

Στην περίπτωση του Patel, ο εισβολέας χρησιμοποιούσε πληροφορίες που διέρρευσαν από έναν ιστότοπο αναζήτησης ατόμων, οι οποίες περιλάμβαναν όνομα, τρέχουσα διεύθυνση, προηγούμενη διεύθυνση και αριθμό τηλεφώνου, δίνοντας στο άτομο που προσπαθούσε να αποκτήσει πρόσβαση στον λογαριασμό του άφθονες πληροφορίες για να εργαστεί.

Ο εισβολέας έτυχε να έχει λάθος το όνομά του και επίσης έγινε ύποπτος επειδή του ζητήθηκε ένας κωδικός μίας χρήσης που η Apple στέλνει ρητά με ένα μήνυμα που επιβεβαιώνει ότι η Apple δεν ζητά αυτούς τους κωδικούς.

Η επίθεση φαίνεται να εξαρτάται από το ότι ο δράστης έχει πρόσβαση στη διεύθυνση email και τον αριθμό τηλεφώνου που σχετίζεται με ένα Apple ID.

Η KrebsOnSecurity εξέτασε το ζήτημα και διαπίστωσε ότι οι εισβολείς φαίνεται να χρησιμοποιούν τη σελίδα της Apple για έναν ξεχασμένο κωδικό πρόσβασης Apple ID. Αυτή η σελίδα απαιτεί το email ή τον αριθμό τηλεφώνου ενός χρήστη Apple ID και διαθέτει CAPTCHA. Όταν εισάγεται μια διεύθυνση email, η σελίδα εμφανίζει τα δύο τελευταία ψηφία του αριθμού τηλεφώνου που σχετίζεται με τον λογαριασμό Apple και η καταχώριση των ψηφίων που λείπουν και το πάτημα υποβολής στέλνει μια ειδοποίηση συστήματος. Δεν είναι σαφές πώς οι εισβολείς κάνουν κατάχρηση του συστήματος για να στείλουν πολλαπλά μηνύματα σε χρήστες της Apple, αλλά φαίνεται ότι πρόκειται για ένα σφάλμα που γίνεται αντικείμενο εκμετάλλευσης.

Είναι απίθανο ότι το σύστημα της Apple προορίζεται να μπορεί να χρησιμοποιηθεί για την αποστολή περισσότερων από 100 αιτημάτων, επομένως πιθανώς παρακάμπτεται το όριο χρέωσης.

Οι κάτοχοι συσκευών Apple που στοχοποιούνται από αυτό το είδος επίθεσης θα πρέπει να πατούν οπωσδήποτε “Να μην επιτρέπεται” σε όλα τα αιτήματα και θα πρέπει να γνωρίζουν ότι η Apple δεν πραγματοποιεί τηλεφωνικές κλήσεις ζητώντας κωδικούς επαναφοράς κωδικού πρόσβασης μίας χρήσης.

Aκολουθήστε το AppleWorldHellas στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το AppleWorldHellas στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://appleworldhellas.com/feed. Ακολουθήστε επίσης το AppleWorldHellas.com σε FacebookTwitterInstagram, και YouTube

Dimitrios Georgoulas
Dimitrios Georgoulas
Dimitris is the co-owner and chief in editor of AppleWorldHellas. With a PhD Degree in Wireless Sensor Networks and with more than 10 years experience in covering Apple and technology news he loves the challenges and new adventures.
Video thumbnail
Quad Lock iPhone 16 Series Cases Review - Ένα μοναδικό οικοσύστημα που διαφέρει
16:31
Video thumbnail
iPhone 16 Pro Unboxing και Πρώτες Εντυπώσεις: Πόσο εύκολα θα κερδίσει τους καταναλωτές φέτος;
29:30
Video thumbnail
🐁 Logitech MX Master 3S για Mac: Το καλύτερο ποντίκι για χρήστες Mac;
24:21
Video thumbnail
🖥️🥸 Minisforum NAB6 Lite: Ένα Mini PC που δεν πρέπει να προσπεράσετε
29:21
Video thumbnail
🤩 Govee TV Backlight 3 Lite: Το δοκιμάσαμε, εντυπωσιατήκαμε και σας έχουμε και εκπτωτική προσφορά!
36:04
Video thumbnail
😮🤩 Withings Body Scan: Δοκιμάσαμε την πιο έξυπνη και premium ζυγαριά της αγοράς!
29:31
Video thumbnail
Withings ScanWatch 2 Review: Η διαφορετικότητα του που μας κέρδισε
37:34
Video thumbnail
💼 GRAMS28 109 Essential Case & 132 Essential Pro Case Review: Μια μοναδική εμπειρία που ξεχωρίζει
26:50
Video thumbnail
👨🏻‍💻 Lofree Flow Keyboard: Ένα μηχανικό πληκτρολόγιο χαμηλού προφίλ που δεν πρέπει να προσπεράσετε
15:52
Video thumbnail
Lululook 360 Rotating Foldable Laptop Stand: Είναι μια από τις καλύτερες επιλογές της αγοράς;
18:54
Video thumbnail
Mujjo δερμάτινες θήκες για iPhone 15 Pro/Pro Max Review: Γιατί και φέτος είναι στις top επιλογές
15:09
Video thumbnail
📱iPhone 15 Pro Max Review: Ακόμη πιο κοντά στο τέλειο
42:11