網路釣魚、不肖人士盜取個人帳號 的手段層出不窮,近日資安 團隊發現駭客 利用蘋果 (Apple)的Apple ID 帳號一項設定,讓系統發送大量通知到使用者iPhone 或Apple Watch上,再假冒客服企圖盜取你的帳號。
據資安團隊《KrebsonSecurity》報導,近日有蘋果(Apple)用戶通報遭遇了精心策畫的新型網路釣魚攻擊。駭客似乎利用Apple ID帳號「密碼 重置」中一項漏洞,讓被害人的蘋果設備跳出數十則甚至上百則的系統通知,更假冒蘋果官方客服來電,試圖盜取你的Apple ID及相關個人資料。
一位蘋果用戶在社群媒體X(舊Twitter,又名推特)上分享這個網路釣魚過程。他表示前幾天晚上iPhone突然跳出系統上百則Apple ID帳號「重置密碼」通知,如果不理會就無法繼續使用iPhone。不僅如此,當全部點選「不允許」,最後會接到自稱蘋果客服的來電,聲稱他們發現用戶遭遇這個狀況,並列舉用戶的個人資訊以取得信任,要求被害人提供Apple ID簡訊認證碼。
目前還不清楚駭客如何利用Apple ID帳號機制讓iPhone或Apple Watch一次推播上百則系統通知,但不肖人士似乎已取得被害人部分個資,藉此進行網路釣魚攻擊。
如同許多詐騙 手法,被害人一旦向駭客提供一次性的Apple ID「簡訊認證碼」,對方就能趁機重設你的App ID帳號密碼。另外能將你的所有蘋果裝置鎖定,甚至遠端清除你的iPhone、iPad、Mac所有資料。
蘋果官方表示除非用戶主動聯繫客服並要求回覆,否則客服絕對不會主動向用戶撥打電話。除此之外,Apple ID發送的簡訊一次性驗證碼 也提醒用戶「勿將驗證碼分享給任何人」。