Сегодня 03 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры нашли, как завалить iPhone запросами о сбросе пароля, и стали пользоваться этим для фишинга

Несколько пользователей устройств Apple сообщили, что стали жертвами новой разновидности фишинга — на их устройства злоумышленниками отправлялись десятки системных запросов о смене пароля, не позволявших пользоваться устройством, пока они все не будут закрыты с согласием или отказом. Затем мошенники звонили жертвам, представляясь службой поддержки Apple, и утверждали, что их учётная запись находится под атакой и нужно «проверить» одноразовый код.

 Источник изображения: Nahel Abdul Hadi / unsplash.com

Источник изображения: Nahel Abdul Hadi / unsplash.com

Один из пострадавших — Парф Патель [Parth Patel], предприниматель и основатель стартапа в сфере ИИ. 23 марта он рассказал в Twitter/X об атаке, обычно называемой пуш-бомбингом или «MFA-усталостью». Злоумышленники используют уязвимости многофакторной системы аутентификации (MFA), чтобы засыпать устройство запросами о смене логина или пароля.

«Все мои устройства разом сошли с ума: часы, ноутбук, телефон. Эти уведомления выглядели системными запросами подтвердить сброс пароля учётной записи Apple, но я не мог пользоваться телефоном, пока не закрыл их все, а их было больше сотни», — рассказал Патель в интервью KrebsOnSecurity.

 Источник изображений: Parth Patel / Twitter/X.

Источник изображения: Parth Patel / Twitter/X.

После отправки серии уведомлений, злоумышленники звонят жертве, подменяя телефонный номер реально используемым техподдержкой Apple.

«Отвечая на звонок, я был крайне насторожен и спросил, могут ли они назвать мои данные, и после быстрого перестука клавиш они выдали мне абсолютно точные данные», — вспоминает Патель. Кроме настоящего имени. По словам Пателя, ему назвали имя, которое он однажды видел среди выставленных на продажу данных на сайте PeopleDataLabs.

Цель злоумышленников — выманить отправляемый на устройство пользователя одноразовый код сброса Apple ID. Заполучив его, они могут сбросить пароль учётной записи и заблокировать пользователя, а также удалить все данные со всех его устройств.

Патель — не единственная жертва. О такой же атаке в конце февраля сообщил другой пользователь, владеющий криптовалютным хедж-фондом.

«Я отказался от смены пароля, но на меня тут же свалилось ещё 30 уведомлений. Я подумал, что случайно нажал какую-то кнопку и отклонил их все», — рассказал он. По его словам, злоумышленники атаковали его несколько дней, но в какой-то момент ему позвонили из службы поддержки Apple. «Я сказал, что сам перезвоню в Apple. Я так и сделал, и мне сказали, что Apple никогда не звонит клиентам, если только те сами не запросят звонок».

Третьему пользователю при звонке в службу поддержки Apple посоветовали активировать ключ восстановления учётной записи Apple ID — это должно было остановить поток уведомлений раз в несколько дней. Однако и это ему не помогло. Вполне вероятно, что для атаки используется сайт восстановления пароля Apple. Чтобы отправить системное уведомление о смене пароля, достаточно ввести привязанный к Apple ID номер телефона и решить капчу.

«Какая нормально спроектированная система аутентификации отправит десятки запросов на смену пароля в секунду, когда пользователь не отреагировал на предыдущие?» — вопрошает Брайан Кребс (Brian Krebs) из KrebsOnSecurity.

 Экран сброса пароля.

Экран сброса пароля.

Исследователь безопасности и инженер-любитель Кишан Багария (Kishan Bagari) уверен, что проблема на стороне Apple. В 2019 году Багария сообщил Apple об ошибке, позволявшей рассылать на все ближайшие устройства под управлением iOS системный запрос с предложением обменяться файлами посредством AirDrop. Через четыре месяца Apple исправила ошибку, поблагодарив Багарию в бюллетене безопасности. По его словам, суть исправления заключалась в ограничении количества запросов, поэтому возможно, что кто-то придумал способ обойти его при сбросе пароля.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Выглядит словно Demon's Souls на движке Doom»: сюрреалистический шутер Mohrta получил новый геймплейный трейлер и дату выхода в Steam 16 мин.
Технологии Google губят традиционные сайты — спасительные меры могут сделать только хуже 46 мин.
ВМС США с головой погрузились в облако Microsoft Azure и никак не могут выбраться 55 мин.
2 миллиарда убитых зомби за 25 миллионов часов: разработчики Dying Light: The Beast раскрыли статистику игроков за первые дни после релиза 2 ч.
В открытый доступ попало ещё больше материалов отменённой версии ремейка Star Wars: Knights of the Old Republic 3 ч.
Соавторы инди-хита Peak анонсировали Crashout Crew — безумную кооперативную игру про работу на вилочных погрузчиках 4 ч.
МВД РФ рассказали, где безопаснее всего хранить фото документов и пароли 5 ч.
OpenAI: Маск прикрывает провалы xAI громкими исками к бывшим сотрудникам 6 ч.
В Threads появились «Сообщества» для общения по интересам 9 ч.
ИИ-браузер Perplexity Comet стал доступен бесплатно для всех — прежде требовалась подписка за $200 в месяц 13 ч.
У планеты-изгоя проснулся аппетит уровня звезды: она внезапно стала поглощать 6 млрд тонн вещества в секунду 23 мин.
Western Digital похвалилась, что уже может выпускать 44-Тбайт HDD с HAMR тысячами, но пока не будет 38 мин.
CPU двойного назначения: SiPearl анонсировала 80-ядерный Arm-процессор Athena1 2 ч.
Fujitsu внедрит технологии Nvidia в суперкомпьютеры на собственных процессорах 2 ч.
Strava обвинила Garmin в нарушении патентов и требует запретить продажу её часов и велокомпьютеров 2 ч.
Microsoft мечтает об отказе от чипов Nvidia и AMD в пользу собственных чипов, но не скоро 4 ч.
В России стартовал предзаказ на смартфоны Huawei nova 14 с «ультрареалистичной камерой» и ценой от 40 тыс. рублей 4 ч.
ИИ-ажиотаж не спадает: за день капитализация мировых чипмейкеров взлетела на $200 млрд 4 ч.
Новая статья: Обзор смартфона HUAWEI nova 14 Pro: покажет все как есть 4 ч.
Giga Computing представила серверы с Arm-чипами AmpereOne M для ИИ-инференса 5 ч.