की एक रिपोर्ट के अनुसार, ऐप्पल के पासवर्ड रीसेट फीचर का फायदा उठाकर फ़िशिंग हमले आम हो गए हैं क्रेब्सऑनसिक्योरिटी . एक हमले में कई Apple उपयोगकर्ताओं को निशाना बनाया गया है जो घबराहट पैदा करने के प्रयास में उन पर सूचनाओं या बहु-कारक प्रमाणीकरण (एमएफए) संदेशों की एक अंतहीन धारा के साथ बमबारी करता है ताकि वे सोशल इंजीनियरिंग के प्रति अनुकूल प्रतिक्रिया दे सकें।
एक हमलावर लक्ष्य पर हमला करने में सक्षम है आई - फ़ोन , Apple Watch, या Mac पर सिस्टम-स्तरीय पासवर्ड परिवर्तन अनुमोदन टेक्स्ट को बार-बार प्रदर्शित करने के लिए। क्योंकि पासवर्ड अनुरोध लक्ष्य करते हैं ऐप्पल आईडी , वे उपयोगकर्ता के सभी उपकरणों पर पॉप अप हो जाते हैं। अधिसूचनाएं सभी लिंक किए गए ऐप्पल उत्पादों को तब तक उपयोग करने में असमर्थ बनाती हैं जब तक कि प्रत्येक डिवाइस पर पॉपअप एक-एक करके खारिज नहीं हो जाते। हाल ही में ट्विटर यूजर पार्थ पटेल अपना अनुभव साझा किया हमले का निशाना बनाया जा रहा है, और उनका कहना है कि जब तक वह 100 से अधिक सूचनाओं के लिए 'अनुमति न दें' पर क्लिक नहीं करते तब तक वह अपने उपकरणों का उपयोग नहीं कर सकते थे।
वास्तविक पॉपअप का उपयोग ऐप्पल डिवाइस तक पहुंच प्राप्त करने के लिए नहीं किया जा सकता है, और यह हमलावरों के लिए लक्ष्य में डर पैदा करने के लिए एक मोर्चे के रूप में कार्य करता है। सूचनाओं की बाढ़ के बाद, हमलावर एक नकली नंबर का उपयोग करके कॉल करता है जिससे ऐसा प्रतीत होता है कि यह Apple से आ रहा है। इन कॉलों पर, हमलावर पुष्टि करता है कि पीड़ित के खाते पर हमला हुआ है, और इसे रोकने के लिए संवेदनशील जानकारी की आवश्यकता है। ऐसा प्रतीत होता है कि हमलावर पासवर्ड रीसेट या लॉगिन प्रयास की पुष्टि करने के लिए एक बार के कोड की तलाश में है।
पटेल के मामले में, हमलावर लोगों की खोज करने वाली वेबसाइट से लीक हुई जानकारी का उपयोग कर रहा था, जिसमें नाम, वर्तमान पता, पिछला पता और फोन नंबर शामिल था, जिससे उसके खाते तक पहुंचने का प्रयास करने वाले व्यक्ति को काम करने के लिए पर्याप्त जानकारी मिल जाती थी। हमलावर का नाम गलत था, और उसे संदेह भी हुआ क्योंकि उससे एक बार के कोड के लिए कहा गया था जिसे Apple स्पष्ट रूप से एक संदेश के साथ भेजता है जो पुष्टि करता है कि Apple उन कोडों के लिए नहीं पूछता है।
यह हमला इस बात पर निर्भर करता है कि अपराधी के पास कम से कम Apple ID से जुड़े ईमेल पते और फोन नंबर तक पहुंच हो, और जो कुछ हो रहा है उसका विवरण देते हुए, यह संभावना है कि बुरे कलाकारों के पास डेटाबेस से पीड़ित के Apple ID पासवर्ड तक भी पहुंच थी। लीक और अन्य साधन। वन-टाइम कोड को अक्सर द्वितीयक सुरक्षा के रूप में ट्रिगर किया जाता है, इसलिए हमलावर अधिसूचना स्पैम भेजता है, लक्ष्य को हमले से 'बचाने' के लिए कॉल करता है, चोरी की गई जानकारी और पासवर्ड के साथ एप्पल आईडी में लॉग इन करता है, और एक को ट्रिगर करता है- समय कोड. यदि लक्ष्य इस बिंदु पर कोड सौंपता है, तो हमलावर के पास एप्पल आईडी तक पूरी पहुंच होगी।
मैकबुक प्रो पर स्क्रीन कैसे प्रिंट करें
क्रेब्सऑनसिक्योरिटी इस मुद्दे पर गौर किया, और पाया कि हमलावर अधिसूचना स्पैम भेजने के लिए भूले हुए एप्पल आईडी पासवर्ड के लिए ऐप्पल के पेज का उपयोग कर रहे हैं। इस पेज के लिए उपयोगकर्ता की Apple ID ईमेल या फ़ोन नंबर की आवश्यकता होती है, और इसमें एक कैप्चा होता है। जब कोई ईमेल पता डाला जाता है, तो पृष्ठ Apple खाते से जुड़े फ़ोन नंबर के अंतिम दो अंक प्रदर्शित करता है, और लुप्त अंकों को दर्ज करने और सबमिट करने पर एक सिस्टम अलर्ट भेजा जाता है।
यह स्पष्ट नहीं है कि हमलावर Apple उपयोगकर्ताओं को कई संदेश भेजने के लिए सिस्टम का दुरुपयोग कैसे कर रहे हैं, लेकिन ऐसा प्रतीत होता है कि यह एक बग है जिसका फायदा उठाया जा रहा है। यह संभावना नहीं है कि Apple का सिस्टम 100 से अधिक अनुरोध भेजने में सक्षम है, इसलिए संभवतः दर सीमा को दरकिनार किया जा रहा है।
इस हमले से लक्षित ऐप्पल डिवाइस मालिकों को शांत रहना चाहिए और यह सुनिश्चित करना चाहिए कि कॉल करने वाले किसी भी व्यक्ति को संवेदनशील जानकारी न दी जाए, भले ही ऐसा प्रतीत हो कि फ़ोन कॉल ऐप्पल से आ रही है। किसी फ़ोन नंबर को स्पूफ़ करना एक साधारण बात है, इसलिए सबसे अच्छा उपाय है फोन काट देना और सीधे Apple सपोर्ट को कॉल करना। ऐसी स्थिति कभी नहीं होती है जहां एक बार का कोड किसी अन्य व्यक्ति के साथ साझा किया जाना चाहिए, और Apple कभी भी कोड नहीं मांगेगा।
अद्यतन: यह लेख यह स्पष्ट करने के लिए अद्यतन किया गया है कि हमला कैसे काम करता है। पिछले संस्करण में सुझाव दिया गया था कि यदि कोई पासवर्ड अनुरोध पॉपअप में से किसी एक पर 'अनुमति दें' दबाता है तो एप्पल आईडी तक पहुंचा जा सकता है, लेकिन यह गलत है। यह एक जटिल, बहु-चरणीय हमला है जिसके लिए सोशल इंजीनियरिंग की आवश्यकता होती है, लेकिन पासवर्ड रीसेट स्पैम एक घटक है जिसे ऐप्पल उम्मीद है कि भविष्य के अपडेट में संबोधित करेगा।
लोकप्रिय पोस्ट