別以為 Apple ID 帳號開啟雙重認證,就能防止帳號被盜,慢霧科技資安長 23pds 今日警告,Apple ID 出現新的攻擊案例,Apple Store 會有惡意釣魚 APP 誘騙用戶下載,並藉機盜取用戶帳密,把自己的號碼加入雙重認證的信任號碼,來控制帳號權限。
(前情提要:蘋果傳秘密開發「Apple GPT」!新AI聊天機器人最快明年亮相 力抗OpenAI)
(背景補充:蘋果參戰AI,「Apple GPT」為何能讓AAPL市值爆增700億鎂?)
慢霧科技資安長 23pds 今(25)日發推警告,Apple Store 最近出現惡意釣魚程式,會通過模仿正常 APP,來盜取用戶帳號和密碼,攻擊者接著會把自己的號碼,加入雙重認證的信任號碼,進而控制帳號權限。
23pds 表示:
這是一個非常高明的釣魚方法,用來繞過蘋果的 2FA! 加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是 iCloud 備份,一旦被攻擊,可能造成資產損失。
延伸閱讀:Google搜尋釣魚攻擊暴增!「3千人上鉤」逾400萬鎂加密資產被盜
⚠️ Attention Apple ID appeared the latest attack case
A malicious phishing program has appeared in the Apple store that steals user accounts and passwords by mimicking a normal application, and then the attacker adds his own number to a double-authenticated trusted number to… pic.twitter.com/ZkkQAjAk7L— 23pds (山哥) (@im23pds) July 25, 2023
開啟雙重認證仍有被盜風險
有受害者就在 V2EX 論壇反映,他的丈母娘因 Apple ID 帳號有開啟雙重認證,本以為高枕無憂,沒想到下載了一個叫「菜譜大全」的 App 後,遭遇釣魚攻擊,該 APP 的登入方式是 Apple ID 授權,若無開啟 iCloud+ 隱藏電郵件地址,Apple ID 帳號就會洩露。
接著,會出來一個跟 App Store 極為相似的密碼輸入框,不熟悉 App Store 登入流程的話,很容易中招,有了 Apple ID 的帳密,犯罪者即可登入,並在登入後,將自己的號碼加入雙重認證的信任號碼中,目的是為了後續的登入可以通過自己認證。
在完成上述流程後,犯罪者就掌握了受害者 Apple ID 的所有權限,而犯罪者接下來不會直接用 Apple ID 下單支付,而是會創建一個家庭共享,加入另一個帳號,由這個帳號購買 App 中的虛擬商品。
Apple 發布重要更新
與此同時,Apple 今日發布了一個重要更新,修復針對 iPhone、Mac 和 iPad 的零日漏洞,即 CVE-2023-37450 和 CVE-2023-38606 漏洞,這些漏洞此前正被廣泛利用,自今年初以來,蘋果已經修復 11 個被攻擊者利用的零日漏洞。
⚠️ Apple Releases Critical Security Update
Today Apple released an update to address the CVE-2023-37450 and CVE-2023-38606 vulnerabilities, which are being widely exploited in the wild.
Official announcement: https://t.co/LXyIaOEQRA
Note the escalation.
👇 pic.twitter.com/uUYo7DcJzN— 23pds (山哥) (@im23pds) July 25, 2023
📍相關報導📍
蘋果新產品爆料:不止iPhone 15,還有M3晶片和「能捲的手機螢幕」