Apple je generalno hvaljen zbog svog stava o privatnosti i zaštiti, ali velika baza korisnika iPhone-a čini ga unosnom metom za hakere i prevarante bez obzira na to.
Prevara u vezi sa lozinkom usmerena na korisnike iPhone-a je u porastu, posebno fokusirajući se na pojedince visokog profila kao što su izvršni direktori i osnivači startapa. Objava koju je Parth podelio na X-u (bivši Twitter) tvrdi da je on, zajedno sa drugim osnivačima, bio na meti sofisticiranog fišing napada koji je osmišljen da kompromituje njihov Apple ID, što je kasnije moglo da dovede do katastrofalnih posledica za bilo koje od njihovih povezanih preduzeća i drugih lične račune.
Ne samo da će vam gubitak pristupa vašem Apple ID-u zaključati nalog, već će ga dati i potencijalno štetnoj osobi. Vaš Apple ID je povezan sa bezbroj usluga, uključujući iMessage, iCloud, pa čak i mnoštvo aplikacija trećih strana. Stoga je imperativ ostati bezbedan i izbegavati takve napade, ali da biste to uradili, dobro je biti svestan kako fišing napad zapravo funkcioniše.
Kako funkcioniše prevara sa resetovanjem lozinke za iPhone?
Višefaktorska autentifikacija se smatra izuzetno bezbednom jer zahteva od korisnika da predstavi najmanje dva načina verifikacije pre nego što može da izvrši određene radnje. Obično ovo uključuje odobravanje upita poslatog na vaš telefon ili potvrđivanje jednokratne lozinke dostavljene na vaš broj telefona. Proces resetovanja vašeg Apple ID-a takođe zahteva sličan proces: prvo se uputite na Appleov iForgot portal, unesete svoju e-poštu ili broj telefona, potvrdite datu captcha, a zatim odobrite zahtev koji je poslat na vaš povezani Apple uređaj.
To znači da svako ko ima pristup vašem nalogu e-pošte može teoretski da pokrene proces resetovanja lozinke. Prompt na vašem iPhone-u ima opcije da ga „Dozvoli“ ili „Odbije“, a odabirom poslednjeg ćete odbaciti zahtev. Napad phishing uključuje bombardovanje Apple uređaja korisnika desetinama i stotinama takvih upita, a način na koji Apple rukuje radnjama na nivou naloga će vas sprečiti da koristite svoj uređaj sve dok ručno ne odbijete svaki pojedinačni zahtev.
Uprkos tome što je napravio pravi potez, Parth je izjavio da ga je prevarant tada nazvao preko službene telefonske linije Apple podrške. "Predstavnik" sa druge strane ga je blago rečeno navodio da potvrdi jednokratnu lozinku poslatu na njegov telefon. Koristeći informacije dostupne u People Data Labs-u, prevarant može da potvrdi lične podatke žrtve – sve do njihove kućne adrese i datuma rođenja.
Evo kako da budete sigurni
Na sreću, napadač nije uspeo da izvuče nijednu informaciju, ali je očigledno koliko je ovo veliki bezbednosni nedostatak. Jedan slučajni dodir na ekran mogao bi vas koštati vašeg Apple ID-a i svega što je sa njim povezano.
Iako se čini da ova prevara cilja na određene pojedince sa javno dostupnim podacima, najbolje je da sledite nekoliko praksi da biste se zaštitili od takvih zlonamernih napada.
Počnimo sa očiglednim - nikada ne odobravajte upit za resetovanje lozinke na vašem iPhone-u, iPad-u, Apple Watch-u ili MacBook-u koji niste poslali vi. Štaviše, ako primite naizgled legitiman poziv od nekoga ko tvrdi da radi za Apple, samo spustite slušalicu. Zapamtite, Apple podrška vas neće kontaktirati osim ako ne podnesete žalbu i prvo zakažete sastanak.
Istraga koju je sproveo KrebsOnSecurity u vezi sa istom MFA prevarom otkriva druge pojedince koji su takođe bili meta. Žrtve su pokušale da naprave novi Apple ID (nešto što ćete možda morati sami da uradite jednog dana) i potpuno pređu na novi iPhone, ali je korisnik ponovo poslat nepoželjan sadržaj sa istim zahtevima za resetovanje lozinke. Ovo ostavlja broj telefona povezan sa vašim nalogom jedinu ranjivost koja takođe može da procuri u javne baze podataka na mreži. Povezivanje manje poznatog telefonskog broja sa vašim Apple nalogom ili korišćenje Hide My Email na vašim Apple uređajima može da vas zaštiti od takvih prevara.
NE PROPUSTITE
