Beschermen tegen iPhone-wachtwoordresetaanvallen: hoe

Bij een van de laatste aanvallen op de iPhone misbruiken kwaadwillende partijen het Apple ID-wachtwoordherstelsysteem om gebruikers te bombarderen met iOS-eisen om hun accounts over te nemen. Hier leest u hoe u zich kunt beschermen tegen aanvallen op het opnieuw instellen van iPhone-wachtwoorden (vaak 'MFA-bombardementen' genoemd).

We hebben onlangs gehoord dat Apple-gebruikers het doelwit zijn van MFA-bombardementen (ook wel MFA-moeheid of push-bombardementen genoemd). Het is geen nieuwe aanval, maar het zou een vermomde oplichterij kunnen zijn omdat het officiële iOS-wachtwoordherstelprompts naar de slachtoffers stuurt.

Zoals gedetailleerd door Kritiek op de veiligheid (via Parth Patel), lijken aanvallers die misbruik maken van dit beveiligingslek dit te doen via het telefoonnummer van een Apple-gebruiker, die uw iPhone en andere Apple-apparaten kan bombarderen met een 100+ MFA-systeem (Multi-Factor Authentication) waarin u wordt gevraagd uw Apple ID-wachtwoord opnieuw in te stellen.

Hoe u zich kunt beschermen tegen aanvallen op het opnieuw instellen van uw iPhone-wachtwoord

1. Terug naar beneden, terug naar beneden, terug naar beneden
   • Omdat verzoeken om wachtwoordherstel een systeembrede waarschuwing zijn, klinken ze overtuigend, maar zorg ervoor dat u dit controleert “niet toestaan” Voor hen allemaal
   • Eén manier waarop aanvallers hun slachtoffers kunnen overweldigen, is door ze te bombarderen met honderden claims, soms over meerdere dagen. Blijf in de gaten houden “niet toestaan” Gebruik eventueel stap 3 hieronder
   • Opmerking: als u op internet een melding voor het opnieuw instellen van uw wachtwoord ziet, die mogelijk op een andere phishing-zwendel wijst, Sluit de pagina Omdat beide knoppen naar een kwaadaardige link kunnen leiden
2. Beantwoord geen telefoontjes – Zelfs als de beller-ID 'Apple Support' of iets dergelijks zegt
   • Aanvallers maken gebruik van call spoofing, waardoor het inkomende nummer kan verschijnen als een officieel Apple-ondersteuningstelefoonnummer en mogelijk persoonlijke informatie kan verifiëren, waardoor de zwendel legitiem lijkt
   • Vervolgens proberen ze een eenmalige toegangscode van u te krijgen om uw Apple-account over te nemen
   • Als u twijfelt, weiger dan de oproep – en bel Apple terug (800.275.2273 in de VS) – oproepspoofing kan uw uitgaande oproep naar de echte Apple niet onderscheppen
   • Apple benadrukt het zal het niet redden Uitgaande oproepen “tenzij de klant vraagt ​​om gecontacteerd te worden” en dat moet ook Deel nooit eenmalige codes met iemand
3. Wijzig tijdelijk uw telefoonnummer gekoppeld aan uw Apple ID
   • Als u deze prompts blijft ontvangen, zou het wijzigen van uw telefoonnummer dat aan uw Apple ID is gekoppeld, deze moeten stoppen
   • Houd er echter rekening mee Dit zal interfereren met iMessage en FaceTime

Meer details

Zoals opgemerkt in Kritiek op de veiligheid Er lijkt een probleem met de snelheidslimiet te zijn met het Apple ID-wachtwoordresetsysteem.

Wat is een redelijk ontworpen authenticatiesysteem dat binnen enkele ogenblikken tientallen verzoeken verzendt om het wachtwoord te wijzigen, terwijl de eerste verzoeken niet door de gebruiker worden opgevolgd? Zou dit het gevolg kunnen zijn van een bug in de systemen van Apple?

We hopen dat Apple het probleem oplost, zodat kwaadwillenden geen misbruik kunnen maken van dit systeem. Maar helaas is de zwendel voor het opnieuw instellen van het wachtwoord aan het licht gekomen Gebruikers voor minimaal twee jaar (Waarschijnlijk meer).

Een slachtoffer vertelde onlangs dat een senior Apple-ingenieur hem adviseerde de Recovery Key-functie voor zijn Apple ID in te schakelen om meldingen over het opnieuw instellen van het wachtwoord te stoppen. Bij verdere tests bleek echter dat dit niet het geval is en dat Krebs op de door de beveiliging geverifieerde Apple Recovery Key de prompts voor het opnieuw instellen van het wachtwoord niet verhindert.

Verwant:

Afbeeldingen van 9to5Mac