POZOR! Máte iPhone? Experti na bezpečnosť upozorňujú na nebezpečnú kampaň „push bombing“. Takto vás vie podvodník pripraviť o váš účet!
Ak váš iPhone dostane viac ako stovku notifikácií o resetovaní hesla, dávajte obrovský pozor. Podvodníci chcú ukradnúť váš účet.
Bezpečnostní experti z Kerbs on Security informujú o novej sofistikovanej forme phishingového útoku. Tá zneužíva chybu v Apple zariadeniach, presnejšie v systéme na resetovanie hesla. Apple zariadenia užívateľov sú doslova bombardované notifikáciami na resetovanie hesla, ktoré znemožňujú používanie iPhonu, dokým užívateľ ručne neodklikne na každom jednom upozornení buď “povoliť” alebo “nepovoliť”.
Už to je otravné, no pri odklikávaní desiatok notifikácií existuje síce malé, no reálne riziko, že sa užívateľ pomýli a povolí resetovanie hesla. Ak by si ale dal pozor a všetky žiadosti zamietol, potom mu útočníci zavolajú z falošného čísla, ktoré napodobňuje podporu Apple. Útočníci vo falošnom hovore obeti tvrdia, že ich Apple účet je pod útokom a že musia overiť jednorazový bezpečnostný kód.
Táto nová phishingová kampaň nesie označenie “push bombing” alebo “MFA únava”. Ako sme už naznačili, útočníci zneužívajú chybu v systéme multifaktorového overenia, ktorá umožňuje na zariadenie obete zaslať obrovské množstvo upozornení na zmenu hesla.
“Všetky moje zariadenia doslova vybuchli. Smartfón, hodinky a notebook. Vyzeralo to ako systémová notifikácia od Apple na schválenie resetovania hesla. So zariadeniami som ale nemohol nič robiť, kým som manuálne nezamietol viac ako sto notifikácií,” tvrdí Parth Patel, podnikateľ v oblasti AI, ktorý sa nedávno stal obeťou tohto útoku.
Hocikto sa môže stať obeťou tohto útoku. Bezpečnostní experti varujú, že niektorí môžu v určitom bode kliknúť na povoliť, len aby mohli používať smartfón opäť. Iní omylom pri zamietaní žiadostí kliknú na povoliť. Tým samozrejme umožnia útočníkom ukradnúť ich Apple účet.
V zálohe majú aj ďalší útok
Ak by to ale nevyšlo a obeť útoku opatrne zamietla všetkých sto a viac notifikácií, kyberzločinci majú v rukáve ešte jeden trik. Ako vysvetlil Patel, po zamietnutí žiadostí dostal telefonát z telefónneho čísla, ktoré je skutočným číslom pre podporu Apple. Za ním sa však skrývajú podvodníci.
Neprehliadnite
“Zodvihol som telefón, no už vtedy som bol extrémne podozrievavý. Človeka na druhej strane linky som sa spýtal, či by mohol overiť nejaké osobné informácie o mne. Ozvalo sa ťukanie do klávesnice a čo mi osoba na linke povedala boli pravdivé, až na meno,” opisuje situáciu Patel.
Útočníci chcú v hovore dosiahnuť to, aby im obeť prezradila Apple ID resetovací kód, ktorý sa pošle na zariadenie obete. Ak im ho poskytne, podvodníci môžu obeť vymknúť z účtu a na diaľku vymazať dáta na všetkých jej Apple zariadeniach.
Útočníci podľa Patelových slov bombardovali zariadenie notifikáciami niekoľko dní, pričom uprostred tohto chaosu mu zavolali. Patel následne volal na skutočnú podporu Apple. Tam mu síce nevedeli povedať, či bol niekto od nich s ním na linke, no vysvetlili, že Apple nikdy nevolá zákazníkom, pokiaľ zákazník nevyžiada, aby ho kontaktovali.
Zatiaľ nie je efektívna obrana proti takýmto útokom. Experti tvrdia, že po vytvorení Apple účtu môžete namiesto normálneho čísla použiť VOIP číslo, ktoré získate napríklad z aplikácie Google Voice. V tomto prípade ale nebudete môcť používať iMessage a Facetime.
Zároveň môžete použiť aj alias e-mailovú adresu. Gmail umožňuje vytvoriť si nekonečno unikátnych emailových adries tým, že za meno pridáte znak “+” a ešte nejaký text. Alias e-mailová adresa by teda vyzerala takto: “Príklad+Apple@gmail.com”.
Komentáre