Bij een van de laatste aanvallen op de iPhone misbruiken kwaadwillende partijen het Apple ID-wachtwoordherstelsysteem om gebruikers te bombarderen met iOS-eisen om hun accounts over te nemen. Hier leest u hoe u zich kunt beschermen tegen aanvallen op het opnieuw instellen van iPhone-wachtwoorden (vaak 'MFA-bombardementen' genoemd).
We hebben onlangs gehoord dat Apple-gebruikers het doelwit zijn van MFA-bombardementen (ook wel MFA-moeheid of push-bombardementen genoemd). Het is geen nieuwe aanval, maar het zou een vermomde oplichterij kunnen zijn omdat het officiële iOS-wachtwoordherstelprompts naar de slachtoffers stuurt.
Zoals gedetailleerd door Kritiek op de veiligheid (via Parth Patel), lijken aanvallers die misbruik maken van dit beveiligingslek dit te doen via het telefoonnummer van een Apple-gebruiker, die uw iPhone en andere Apple-apparaten kan bombarderen met een 100+ MFA-systeem (Multi-Factor Authentication) waarin u wordt gevraagd uw Apple ID-wachtwoord opnieuw in te stellen.
Update 21/04/24: We hebben niet meer gevallen gezien waarin deze aanval werd “gebombardeerd” sinds Apple het probleem eind maart had opgelost. Echter, A 9to5Mac Een collega en ik waren dit weekend getuige van een wachtwoordaanval op onze Apple-apparaten.
In mijn geval ontving ik een bericht voor het opnieuw instellen van het wachtwoord op zowel mijn iPhone als Mac. Gelukkig was er maar één prompt op elk apparaat, dus ze konden deze snel negeren. Ondertussen kreeg mijn collega Bradley er vijf.
Wees waakzaam en veilig daarbuiten!
Bijgewerkt op 28-03-24 om 14:40 uur PT: 9to5Mac Ik hoorde van een Apple-woordvoerder over dit probleem. Het bedrijf is op de hoogte van de recente paar gevallen van dergelijke phishing-aanvallen en Apple heeft actie ondernomen om het probleem op te lossen.
Hoe u zich kunt beschermen tegen aanvallen op het opnieuw instellen van uw iPhone-wachtwoord
- Terug naar beneden, terug naar beneden, terug naar beneden
- Omdat verzoeken om wachtwoordherstel een systeembrede waarschuwing zijn, klinken ze overtuigend, maar zorg ervoor dat u dit controleert “niet toestaan” Voor hen allemaal
- Eén manier waarop aanvallers hun slachtoffers kunnen overweldigen, is door ze te bombarderen met honderden claims, soms over meerdere dagen. Blijf in de gaten houden “niet toestaan” Gebruik eventueel stap 3 hieronder
- Opmerking: als u op internet een melding voor het opnieuw instellen van uw wachtwoord ziet, die mogelijk op een andere phishing-zwendel wijst, Sluit de pagina Omdat beide knoppen naar een kwaadaardige link kunnen leiden
- Beantwoord geen telefoontjes – Zelfs als de beller-ID 'Apple Support' of iets dergelijks zegt
- Aanvallers maken gebruik van call spoofing, waardoor het inkomende nummer kan verschijnen als een officieel Apple-ondersteuningstelefoonnummer en mogelijk persoonlijke informatie kan verifiëren, waardoor de zwendel legitiem lijkt
- Vervolgens proberen ze een eenmalige toegangscode van u te krijgen om uw Apple-account over te nemen
- Als u twijfelt, weiger dan de oproep – en bel Apple terug (800.275.2273 in de VS) – oproepspoofing kan uw uitgaande oproep naar de echte Apple niet onderscheppen
- Apple benadrukt het zal het niet redden Uitgaande oproepen “tenzij de klant vraagt om gecontacteerd te worden” en dat moet ook Deel nooit eenmalige codes met iemand
- Wijzig tijdelijk uw telefoonnummer gekoppeld aan uw Apple ID
- Als u deze prompts blijft ontvangen, zou het wijzigen van uw telefoonnummer dat aan uw Apple ID is gekoppeld, deze moeten stoppen
- Houd er echter rekening mee Dit zal interfereren met iMessage en FaceTime
Meer details
Zoals opgemerkt in Kritiek op de veiligheid Er lijkt een probleem met de snelheidslimiet te zijn met het Apple ID-wachtwoordresetsysteem.
Wat is een redelijk ontworpen authenticatiesysteem dat binnen enkele ogenblikken tientallen verzoeken om wachtwoordwijziging verzendt, terwijl de eerste verzoeken niet door de gebruiker worden opgevolgd? Zou dit het gevolg kunnen zijn van een bug in de systemen van Apple?
We hopen dat Apple het probleem oplost, zodat kwaadwillenden geen misbruik kunnen maken van dit systeem. Maar helaas is de zwendel voor het opnieuw instellen van het wachtwoord aan het licht gekomen Gebruikers voor minimaal twee jaar (Waarschijnlijk meer).
Een slachtoffer vertelde onlangs dat een senior Apple-ingenieur hem adviseerde de Recovery Key-functie voor zijn Apple ID in te schakelen om meldingen over het opnieuw instellen van het wachtwoord te stoppen. Bij verdere tests was dit echter niet het geval en Krebs van Security bevestigde dat de Apple Recovery Key de prompts voor het opnieuw instellen van het wachtwoord niet blokkeert.
Verwant:
Afbeeldingen van 9to5Mac
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’