11月20日消息,科技媒体Appleinsider于昨日(11月19日)发布博文指出,目前有一类设计极为复杂的钓鱼骗局专门针对苹果用户。这种骗局通过将真实的苹果系统警报、伪造的客服电话与精准的时机把控巧妙结合,致使用户误信自己的账户正面临攻击,进而主动“配合”攻击者完成账户窃取操作。
IT之家引用相关博文内容称,和传统的钓鱼攻击有所区别,这类骗局在差不多每一个环节都借助了苹果的真实操作流程,这使得它的可信度得到了显著提升,就算是有一定安全防范意识的用户,也很容易陷入这个圈套。
邮件中的可疑链接。图源:Eric Moret
攻击发起时,用户的设备(如iPhone、iPad、Mac)会突然收到大量双因素认证弹窗通知。这些通知全部来自苹果的真实服务器,在极短时间内让用户产生账户遭入侵的恐慌情绪。
紧接着,攻击者会假扮成苹果支持人员给用户打电话,用沉稳且专业的语气声称要帮忙解决安全方面的问题。为了进一步取得用户的信任,攻击者会借助用户的邮箱信息在苹果官方系统里创建一个真实有效的支持案例,使得用户收到一封和来电内容细节完全一致的官方邮件,这样就能彻底消除用户的疑虑了。
诈骗分子已向苹果公司提出申诉。图源:Eric Moret
在通话过程中,攻击者会诱导用户自己去“设置”里重置密码,因为整个过程不需要用户分享密码或者验证码,所以用户的防备心理会变得很低。之后,攻击者又会让用户点击短信里的链接,说是要关闭支持案例。
通过短信发送的双因素身份验证码。图片来源:Eric Moret
这个链接会跳转到一个叫“appeal-apple.com”的钓鱼网站,这个网站不仅页面设计得很精致,还具备有效的安全证书。要是用户在这个网站里输入了真实的案例编号,攻击者就会发起一次真实的登录请求,这时候用户收到苹果官方发来的验证码,就会被引诱着输入到这个钓鱼网站中。
这个骗局之所以极具迷惑性,核心在于它借助苹果自身的系统来构建合法性,还通过精准的时机配合压制了用户的直觉。攻击者自始至终保持耐心,不使用催促性的话语,使整个过程显得如同常规的官方支持一般。
这次事件说明,就算是采用了双因素认证,一旦用户被误导提供了验证码,该认证机制也会失去作用。为了确保账户安全,用户应当把所有非主动请求的安全来电都视为不可信,并且绝对不要在非官方的页面中输入验证码。
