Dostajesz powiadomienie o zmianie hasła i masz problem. Pojawiło się groźne oszustwo
W sieci pojawiły się doniesienia o naprawdę niebezpiecznej i przemyślnej metodzie oszustwa. Przestępcy wysyłają masę powiadomień o resecie hasła. To niezwykle denerwujący sposób, ale może okazać się skuteczny.
Metoda nie dotyczy jednak wszystkich użytkowników: tym razem posiadacze smartfonów z systemem Android są bezpieczni. Na celowniku są bowiem użytkownicy sprzętu Apple – iPhone'ów, Apple Watchów oraz komputerów Mac. Sposób nie wymaga zainstalowania żadnego oprogramowania, a nawet kliknięcia podejrzanego linku do fałszywej strony. Nie jest to typowy prymitywny phishing.
Dostajesz masę powiadomień o zmianie hasła na iPhone i masz problem
Użytkownik serwisu X, Parth, opisał nową, nietypową metodę oszustwa. Sam bowiem padł ofiarą cyberprzestępców i postanowił opisać metodę, która została nazwana "push bombing". Tak jak nazwa sugeruje, polega na bombardowaniu użytkownika powiadomieniami push o obowiązku zresetowaniu hasła.
W metodzie nie korzysta się z dodatkowego oprogramowania zainstalowanego na urządzeniu - iPhone nie pozwala na instalację aplikacji spoza sklepu App Store (jeszcze), więc oszuści wymyślili… że za sprawą strony internetowej Apple będą próbowali wyzerować hasło atakowanego użytkownika. Tak więc do tej metody oszuści potrzebują adresu e-mail oraz numeru telefonu.
System resetowania hasła wydaje się mieć pewne braki, ponieważ powiadomień o resecie hasła można wysyłać całą masę – użytkownik X miał otrzymać ich ponad 100. Nie byłoby problemem, gdyby te powiadomienia można by było usunąć jednym kinięciem. W metodzie wykorzystuje się fakt, że dopóki użytkownik nie odrzuci wszystkich próśb o zresetowanie hasła, to nie może korzystać ze swojego urządzenia (a tych powiadomień może być nawet 100 lub więcej).
Serwis Krebsonsecurity twierdzi, że jeśli użytkownik potwierdzi chęć zmiany hasła, to oszust może zablokować użytkownikowi sprzętu producenta z Cupertino dostęp do Apple ID – chociaż nie zostało to dokładnie wytłumaczone, najprawdopodobniej ze względów bezpieczeństwa. Natomiast jeśli odrzucimy wszelkie powiadomienia o resecie hasła, to ofiara otrzymuje połączenia telefoniczne rzekomo od firmy Apple. Oszuści pod przykrywką pracownika Apple mają informować o ataku, próbując uzyskać jednorazowy kod wysłany na numer telefonu, który służy do potwierdzenia zmiany hasła.
Obecnie nie jest jasne, dlaczego systemy resetowania haseł kont Apple pozwalają na bombardowanie użytkowników powiadomieniami o resecie. Wydaje się, że tak podstawowa funkcja, jak resetowanie hasła, powinna być odpowiednio zabezpieczona i nie umożliwiać wysłanie więcej niż 2-3 powiadomień. Być może oszuści korzystają tu ze specjalnych metod. Niemniej jednak warto wspomnieć, że Apple nigdy nie dzwoni do swoich klientów w sprawie uzyskania jednorazowych kodów.
Więcej o metodach oszustów internetowych piszemy na Spider's Web: