Пользователи устройств Apple жалуются на новый тип фишинговых атак, связанных с функцией сброса пароля. Так, на устройства жертв поступают десятки или даже сотни запросов на смену пароля, и пока жертва аккуратно не закроет все эти уведомления, нажав на кнопки «Разрешить» (Allow) или «Не разрешать» (Don’t Allow), девайсом практически невозможно пользоваться.
ИБ-журналист Брайан Кребс одним из первых обратил внимание на происходящее в своем блоге KrebsOnSecurity. По его словами злоумышленники рассчитывают на то, что закрывая множество одинаковых окон, пользователь рано или поздно ошибется и нажмет не на ту кнопку.
Если же этого не происходит, мошенники звонят жертве, выдавая себя за службу поддержки Apple, и сообщают, что аккаунт находится под атакой, поэтому службе поддержки срочно необходимо верифицировать одноразовый код, поступивший на устройство.
Одним из пострадавших стал Парф Патель (Parth Patel ), предприниматель, который работает над криптовалютным стартапом. В минувшие выходные Патель описал в X фишингогвую атаку, жертвой которой он стал.
Подобные атаки обычно называют push-бомбингом или усталостью от МФА (Многофакторная аутентификация). Их суть заключается в том, что фишеры злоупотребляют функциональностью или некой ошибкой в системе многофакторной аутентификации, буквально заваливая устройство (или устройства) жертвы бесконечными сообщениями о смене пароля или логина.
«Все мои устройства просто взорвались: часы, ноутбук и телефон, — рассказал Патель KrebsOnSecurity. — Это было похоже на системное уведомление от Apple с просьбой одобрить [сброс пароля для учетной записи], и я не мог пользоваться своим телефоном. Мне пришлось просмотреть и вручную отклонить 100 с лишним уведомлений».
Кребс отмечает, что став жертвой подобной атаки, некоторые люди, в итоге нажимают на кнопку «Разрешить», просто чтобы снова иметь возможность воспользоваться телефоном. Другие люди могут случайно одобрить смену пароля, ведь сообщения появятся даже на Apple Watch пользователя, если гаджет у него есть.
Однако злоумышленники, стоящие за этой атакой, не ограничились одним только push-бомбингом. По словам Пателя, после того как он отклонил все предложения о сбросе пароля, на его iPhone поступил звонок от фальшивой службы поддержки Apple. При этом на экране высветился номер 1-800-275-2273, то есть телефон реальной службы поддержки компании.
«Я поднял трубку, и у меня возникли серьезные подозрения, — рассказывает Патель. — Я спросил, могут ли они предоставить информацию обо мне, и, услышал, что человек на том конце провода агрессивно набирает текст, а затем он сообщил мне всю информацию обо мне, и она оказалась абсолютно точной».
Верным оказалось все, кроме настоящего имени Пателя. По словам пострадавшего, когда он попросил фальшивого представителя службы поддержки подтвердить имя, которое указано в его учетной записи Apple, тот назвал имя Энтони, которое Патель нашел только в биографических справках о себе, продающихся на сайте PeopleDataLabs, предназначенном для поиска данных о людях.
По словам Пателя, он приложил немало усилий, чтобы удалить информацию о себе с нескольких подобных ресурсов и обнаружил, что по какой-то причине PeopleDataLabs постоянно указывает неправильное имя в его профиле.
Патель говорит, что цель фишеров — узнать код пользователя для сброса Apple ID, который представляет собой текстовое сообщение, содержащее одноразовый пароль. Если пользователь сообщает этот одноразовый код мошеннику, тот получает возможность сбросить пароль для учетной записи и заблокировать настоящего пользователя. Кроме того, преступники смогут удаленно очистить все устройства Apple, принадлежащие жертве.
Другим пострадавшим стал Крис — владелец криптовалютного хедж-фонда, который не захотел раскрывать свою фамилию. Крис рассказал KrebsOnSecurity, что в конце февраля он столкнулся с практически аналогичной попыткой фишинга.
«В первом полученном уведомлении я нажал “Не разрешать”, но сразу после этого получил еще около 30 таких же уведомлений, — рассказывал Крис. — Я подумал, что, возможно, сел на телефон или случайно нажал какую-то кнопку, которая привела к появлению этих уведомлений, поэтому просто отклонил их все».
Однако злоумышленники продолжали забрасывать устройства Криса уведомлениями в течение нескольких дней. А затем ему тоже поступил звонок от фальшивой службы поддержки Apple.
«Я сказал, что перезвоню им и повесил трубку. После я перезвонил в настоящую службу поддержки Apple, но они не смогли определить, звонил ли мне кто-то поддержки. Они просто сказали, что Apple никогда не станет инициировать исходящие звонки клиентам, если только клиент сам не просил о том, чтобы с ним связались», — говорит Крис.
Испугавшись, что кто-то пытается его взломать и похитить всю его цифровую жизнь, Крис сменил все пароли, а затем отправился в магазин Apple и купил новый iPhone. Затем он создал новую учетную запись Apple iCloud, используя для этого абсолютно новый адрес электронной почты. Однако после этого Крис лишь получил новый шквал оповещений, уже пришедших на новый iPhone и аккаунт iCloud.
По словам пострадавшего, единственное, что не изменилось в его профиле Apple – телефонный номер. То есть злоумышленники каким-то образом злоупотребляют генераций системных оповещений от Apple, для чего им необходимо знать номер телефона жертвы.
Брайан Кребс отмечает, что при посещении страницы https://iforgot.apple.com нужно требуется ввести адрес электронной почты и решить CAPTCHA. После этого на странице отобразятся две последние цифры номера телефона, привязанного к учетной записи Apple. Если заполнить недостающие цифры и нажать кнопку «Отправить», пользователю будет отправлено системное уведомление.
Так как ни одна система аутентификации не станет отправлять пользователю десятки запросов на смену пароля подряд, Кребс предполагает, что злоумышленники могут использовать какой-то баг в системах Apple. Однако представители Apple не ответили на запросы о комментариях.