Buzz
Người dùng có thể mất quyền truy cập vào tài khoản iCloud nếu rơi vào hình thức lừa đảo mới này.
Theo báo cáo từ KrebsOnSecurity, cuộc tấn công phishing sử dụng lỗ hổng trong tính năng đặt lại mật khẩu của Apple đang trở nên phổ biến hơn. Kẻ gian đang tìm cách tấn công người dùng Apple bằng cách liên tục gửi nhiều thông báo hoặc tin nhắn xác thực đa yếu tố (MFA) để lừa họ chấp thuận thay đổi mật khẩu Apple ID.
Kẻ tấn công có thể khiến iPhone, Apple Watch hoặc máy Mac của nạn nhân liên tục hiển thị thông báo xác nhận thay đổi mật khẩu. Mục đích là gây nhầm lẫn hoặc phiền phức để người dùng chấp thuận yêu cầu. Nếu yêu cầu được chấp thuận, kẻ tấn công có thể đổi mật khẩu Apple ID và khóa tài khoản của người dùng.
Vì tác động vào Apple ID, các yêu cầu đặt lại mật khẩu sẽ xuất hiện trên tất cả thiết bị của người dùng. Người dùng Twitter Parth Patel chia sẻ trải nghiệm bị tấn công này, không thể sử dụng thiết bị cho đến khi tắt hết thông báo trên hơn 100 thiết bị.
Khi không thể dụ người dùng chấp thuận thông báo đổi mật khẩu, kẻ tấn công thường giả danh cuộc gọi từ Apple để lấy mã OTP từ số điện thoại của người dùng.
Trong trường hợp của Patel, kẻ tấn công đã sử dụng thông tin cá nhân của anh từ một trang web rò rỉ thông tin. Tuy nhiên, may mắn là kẻ tấn công đã nhận sai tên Patel và gặp khó khăn khi yêu cầu mã OTP, mà Apple không bao giờ yêu cầu người dùng cung cấp.
Cuộc tấn công có vẻ như phụ thuộc vào việc kẻ xấu có thông tin về địa chỉ email và số điện thoại liên kết với Apple ID.
KrebsOnSecurity đã điều tra vấn đề này và phát hiện rằng kẻ tấn công sử dụng trang khôi phục mật khẩu Apple ID. Trang này yêu cầu email hoặc số điện thoại của Apple ID và có mã CAPTCHA. Khi nhập email, trang sẽ hiển thị hai số cuối của số điện thoại liên kết với tài khoản Apple. Bằng cách nhập các số còn thiếu và nhấn gửi, kẻ tấn công có thể kích hoạt cảnh báo hệ thống.
Hiện chưa rõ kẻ tấn công sử dụng hệ thống như thế nào để gửi nhiều tin nhắn cho người dùng Apple, nhưng dường như đây là một lỗ hổng được khai thác. Hệ thống của Apple không được thiết kế để gửi hơn 100 yêu cầu đặt lại mật khẩu, vậy nên có thể giả định rằng giới hạn này đã bị hacker vượt qua.
Người dùng thiết bị Apple là mục tiêu của kiểu tấn công này, nên đảm bảo chọn 'Không cho phép' trên tất cả các yêu cầu, và nhớ rằng Apple không bao giờ gọi điện thoại yêu cầu cung cấp mã OTP.
