Сегодня 04 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры нашли, как завалить iPhone запросами о сбросе пароля, и стали пользоваться этим для фишинга

Несколько пользователей устройств Apple сообщили, что стали жертвами новой разновидности фишинга — на их устройства злоумышленниками отправлялись десятки системных запросов о смене пароля, не позволявших пользоваться устройством, пока они все не будут закрыты с согласием или отказом. Затем мошенники звонили жертвам, представляясь службой поддержки Apple, и утверждали, что их учётная запись находится под атакой и нужно «проверить» одноразовый код.

 Источник изображения: Nahel Abdul Hadi / unsplash.com

Источник изображения: Nahel Abdul Hadi / unsplash.com

Один из пострадавших — Парф Патель [Parth Patel], предприниматель и основатель стартапа в сфере ИИ. 23 марта он рассказал в Twitter/X об атаке, обычно называемой пуш-бомбингом или «MFA-усталостью». Злоумышленники используют уязвимости многофакторной системы аутентификации (MFA), чтобы засыпать устройство запросами о смене логина или пароля.

«Все мои устройства разом сошли с ума: часы, ноутбук, телефон. Эти уведомления выглядели системными запросами подтвердить сброс пароля учётной записи Apple, но я не мог пользоваться телефоном, пока не закрыл их все, а их было больше сотни», — рассказал Патель в интервью KrebsOnSecurity.

 Источник изображений: Parth Patel / Twitter/X.

Источник изображения: Parth Patel / Twitter/X.

После отправки серии уведомлений, злоумышленники звонят жертве, подменяя телефонный номер реально используемым техподдержкой Apple.

«Отвечая на звонок, я был крайне насторожен и спросил, могут ли они назвать мои данные, и после быстрого перестука клавиш они выдали мне абсолютно точные данные», — вспоминает Патель. Кроме настоящего имени. По словам Пателя, ему назвали имя, которое он однажды видел среди выставленных на продажу данных на сайте PeopleDataLabs.

Цель злоумышленников — выманить отправляемый на устройство пользователя одноразовый код сброса Apple ID. Заполучив его, они могут сбросить пароль учётной записи и заблокировать пользователя, а также удалить все данные со всех его устройств.

Патель — не единственная жертва. О такой же атаке в конце февраля сообщил другой пользователь, владеющий криптовалютным хедж-фондом.

«Я отказался от смены пароля, но на меня тут же свалилось ещё 30 уведомлений. Я подумал, что случайно нажал какую-то кнопку и отклонил их все», — рассказал он. По его словам, злоумышленники атаковали его несколько дней, но в какой-то момент ему позвонили из службы поддержки Apple. «Я сказал, что сам перезвоню в Apple. Я так и сделал, и мне сказали, что Apple никогда не звонит клиентам, если только те сами не запросят звонок».

Третьему пользователю при звонке в службу поддержки Apple посоветовали активировать ключ восстановления учётной записи Apple ID — это должно было остановить поток уведомлений раз в несколько дней. Однако и это ему не помогло. Вполне вероятно, что для атаки используется сайт восстановления пароля Apple. Чтобы отправить системное уведомление о смене пароля, достаточно ввести привязанный к Apple ID номер телефона и решить капчу.

«Какая нормально спроектированная система аутентификации отправит десятки запросов на смену пароля в секунду, когда пользователь не отреагировал на предыдущие?» — вопрошает Брайан Кребс (Brian Krebs) из KrebsOnSecurity.

 Экран сброса пароля.

Экран сброса пароля.

Исследователь безопасности и инженер-любитель Кишан Багария (Kishan Bagari) уверен, что проблема на стороне Apple. В 2019 году Багария сообщил Apple об ошибке, позволявшей рассылать на все ближайшие устройства под управлением iOS системный запрос с предложением обменяться файлами посредством AirDrop. Через четыре месяца Apple исправила ошибку, поблагодарив Багарию в бюллетене безопасности. По его словам, суть исправления заключалась в ограничении количества запросов, поэтому возможно, что кто-то придумал способ обойти его при сбросе пароля.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Спустя 10 лет после релиза Ubisoft случайно ввела цензуру в Far Cry 4, но быстро исправила ошибку 56 мин.
Microsoft выпустила юбилейные обои для Windows с отсылками к легендарным элементам из прошлого корпорации 2 ч.
Сэм Альтман: GPT-5 задержится, чтобы стать лучше — зато «думающий» ИИ OpenAI o3 выйдет совсем скоро 3 ч.
Режиссёр Elden Ring рассказал, как будет играться The Duskbloods — эксклюзив Nintendo Switch 2 от FromSoftware 3 ч.
В России насчитали уже 134 тысяч блогеров с аудиторией выше 10 тысяч человек 4 ч.
Rutube не смог обогнать замедленный YouTube по популярности в России — это удалось только «VK Видео» 4 ч.
Европа готовится оштрафовать соцсеть X более чем на $1 миллиард 4 ч.
Представлена Midjourney V7 — ИИ-генератор изображений стал идеально понимать запросы и поразил качеством 6 ч.
Соавтор Dishonored «с радостью» бы взялся за Dishonored 3, но есть нюанс 7 ч.
ООН: ИИ уничтожит почти половину рабочих мест к 2033 году 8 ч.
Из-за новых импортных тарифов стоимость iPhone в США может вырасти до $2300 15 мин.
Honda отправит свои водородные топливные ячейки в космос — сначала на МКС, а потом дальше 17 мин.
Nintendo отложила старт предзаказов Switch 2 в США, чтобы оценить влияние пошлин Трампа 2 ч.
Представлен смартфон Honor 400 Lite с чипом Dimensity 7025-Ultra и 108-Мп камерой 3 ч.
Китай зеркально ответил на пошлины Трампа, обложив товары из США пошлиной в 34 % 4 ч.
Российская компания iRU начала выпускать материнские платы для процессоров AMD и Intel 5 ч.
Тайваньский производитель серверов Wistron инвестирует $50 млн в производство в США на фоне новых тарифов Дональда Трампа 5 ч.
Китайская Loongson анонсировала восьмиядерный процессор для ноутбуков с поддержкой 4K и PCIe 3.0 5 ч.
Испанская Sateliot привлекла €70 млн европейских инвесторов на спутниковый Интернет вещей 5 ч.
Каждый пятый проданный в России в этом году смартфон выпустила Xiaomi, но заработала больше всех Apple 7 ч.