苹果用户被虚假密码重置请求淹没

苹果设备用户们，请注意:一场有针对性的多因素身份验证轰炸活动正在进行，其目标是让苹果用户精疲力竭，允许不必要的密码重置。

首先由人工智能企业家帕特尔在X/推特上呼吁，安全博主布莱恩·克雷布斯证实了这一事件的发生，这次活动似乎是针对特定的个人，他们收到了大量的密码重置请求。帕特尔说，因为警报是在系统级别发送的，所以在他使用iPhone、Apple Watch或MacBook之前，必须清除每一个警报。

帕特尔不得不在100多个通知上点击“不允许”。他的几个朋友——以及克雷布斯确认的其他受害者——也报告了类似的数量。

这种攻击与多年来突然出现的其他多因素疲劳攻击相似。他们的目标是让用户筋疲力尽，让他们错误地点击，让别人修改密码——或者这样做是为了阻止密码泛滥。由于这种滥用，微软甚至改变了其MFA代码的工作方式。

苹果设备用户们，请注意:一场有针对性的多因素身份验证轰炸活动正在进行，其目标是让苹果用户精疲力竭，允许不必要的密码重置。

首先由人工智能企业家帕特尔在X/推特上呼吁，安全博主布莱恩·克雷布斯证实了这一事件的发生，这次活动似乎是针对特定的个人，他们收到了大量的密码重置请求。帕特尔说，因为警报是在系统级别发送的，所以在他使用iPhone、Apple Watch或MacBook之前，必须清除每一个警报。

帕特尔不得不在100多个通知上点击“不允许”。他的几个朋友——以及克雷布斯确认的其他受害者——也报告了类似的数量。

这种攻击与多年来突然出现的其他多因素疲劳攻击相似。他们的目标是让用户筋疲力尽，让他们错误地点击，让别人修改密码——或者这样做是为了阻止密码泛滥。由于这种滥用，微软甚至改变了其MFA代码的工作方式。

苹果还没有做出这样的改变。无论如何，在这个案例中，攻击者足够老练，不仅仅是向受害者发送垃圾邮件。

清除通知大约15分钟后，帕特尔说，有人欺骗他们的来电显示，假装他们是从苹果的实际支持热线打来的。打电话的人告诉帕特尔，他的账户遭到了攻击，并要求他验证自己的信息，并提供一次性重置代码——表面上看，攻击者可以自己重置他的密码。出于对电话性质的怀疑，帕特尔要求他们核实他的一些个人信息，而打电话的人在很大程度上做到了。

帕特尔说:“他们答对了很多，从出生日期、电子邮件、电话号码、当前地址、历史地址。”帕特尔很幸运，他会定期查看自己的个人信息在网上有哪些，在这种情况下，数据似乎来自B2B信息公司PeopleDataLabs。

帕特尔说:“我清楚地记得(PeopleDataLabs)把我和一位名叫安东尼·S的中西部小学老师搞混了。”这让他意识到整件事是个骗局。

• 俄罗斯的Cozy Bear带着一袋新把戏潜入云环境

• 继续吧，忘记那个密码。谷歌建议使用密码代替

• 俄罗斯的Cozy Bear逮到用假的晚餐邀请钓鱼德国政客

• 谷歌工作区的弱点允许明文密码被盗

骗子直接打电话给帕特尔的事实表明，他们能够使用苹果的iForgot页面发送密码重置请求，除了知道账户的电话号码外，该页面只要求提供电子邮件地址和解决的验证码，就可以发送密码重置请求。

请求的数量之大，让人怀疑苹果的iForgot系统可能存在速率限制缺陷，该系统允许反复向用户发送重置请求。苹果公司没有回答这些问题，但向我们提供了一个如何识别针对其用户的诈骗和网络钓鱼企图的支持页面。

在苹果以某种方式解决这个问题之前，点击这些提醒要小心，确保你不会不小心给骗子想要的东西。如果有人声称来自苹果支持部门，请采纳苹果的建议，该公司明确表示:“如果你接到自称来自苹果或苹果支持部门的人打来的未经请求或可疑的电话，请直接挂断。”

原文始发于微信公众号（HackSee）：苹果用户被虚假密码重置请求淹没