מספר משתמשים של אפל דיווחו לאחרונה על באג בתוכנת האיפוס סיסמא של החברה. הדבר גרם להאקרים מתוחכמים במיוחד לנצל זאת לרעה כדי לנסות פרוץ לחשבונות אישיים רבים, כך דווח באתר KrebsOnSecurity.
איך זה עובד?
אותם תוקפים מפצצים את המשתמשים בהודעות המבקשות לאפס את הסיסמא שלהם לחשבון האפל במטרה לגרום להם לחשוף פרטים אישיים. על פי הדיווח, ההאקרים מנצלים שילוב של פרצת האבטחה עם טכניקת "עייפות MFA" – ריבוי של בקשות איפוס סיסמא שמקשות על המשתמש לזהות את הבקשה האמיתית. מתוך כך, הקורבנות מוצפים בהתראות המגיעות למכשיר הנייד האישי דבר המפריע להם בתפעול השוטף.
בנוסף, משתמשים רבים דיווחו על כך שקיבלו שיחה מאדם שהתחזה לעובד בתמיכה הרשמית של החברה. באותה שיחה, ההאקר מסביר לקורבן שהחשבון שלו מותקף וכי התמיכה של אפל צריכה לאמת קוד חד פעמי וכך בעצם, הוא מצליח לגנוב את הפרטים האישיים של אותו משתמש.
"בהתראה הראשונה שקיבלתי לחצתי על 'אל תאפשר', אבל מיד לאחר מכן קיבלתי עוד 30 התראות ברצף", סיפר אחד מהקורבנות, "חשבתי שאולי ישבתי על הטלפון שלי, או שבטעות נלחץ לי על איזה כפתור שגרם לזה, אז פשוט הכחשתי את כולם".
כריס שיתף שהתוקפים שלחו עשרות הודעות במשך מספר ימים כשבשלב מסוים הוא קיבל שיחה מאדם שטען שהוא מהתמיכה של אפל. "כשהתקשרתי בחזרה לחברת אפל האמיתית, הם לא יכלו לומר אם מישהו היה איתי בשיחת תמיכה בדיוק אז. הם רק אמרו שאפל מצהירה מאוד שהיא לעולם לא תיזום שיחות יוצאות ללקוחות – אלא אם הלקוח יבקש ליצור קשר".
