3月23日,企业家帕斯·帕特尔(ParthPatel)在Twitter上分享了他被这种新型网络钓鱼攻击攻击的经历。一天晚上,帕特尔的所有苹果设备都开始收到大量“重置密码”通知。这些是系统级警报,因此他必须单独清除所有100多个通知才能再次使用他的iPhone或iPad。
15分钟后,帕特尔接到了有人假冒苹果官方支持号码的电话。他接听了他们的电话,并要求他们验证一些个人信息以证明它们是真实的。令人震惊的是,他们能够正确回答他的大部分问题,包括他的出生日期、电子邮件地址、电话号码和家庭住址。
最终,当打电话的人称帕特尔为“安东尼”时,他就暴露了自己的身份,此时他意识到他们很可能是从一家名为“人员数据实验室”的公司获取数据。通话快结束时,他们要求帕特尔分享他通过短信收到的一次性密码。在苹果的代码下方,写着:“不要与任何人分享。”如果他告诉他们,或者在任何通知上点击“允许”,攻击者可能会窃取他的帐户。
帕特尔并不孤单。一位名叫Chris的加密货币对冲基金所有者向KrebsOnSecurity讲述了他在2月底经历的一次类似的网络钓鱼尝试。
“我收到的第一个警报是‘不允许’,但紧接着我又连续收到了大约30条通知,”Chris告诉该网站。“我想也许是我奇怪地坐在手机上,或者不小心按下了某个按钮导致了这些,所以我就全部否认了。”
这些通知持续了好几天,直到攻击者最终打电话来,声称来自苹果的支持团队。他挂断电话,拨回支持电话,苹果公司告诉他,除非客户特别要求,否则不会向客户拨打外线电话。
随后,他更改了密码,购买了新iPhone,并使用新电子邮件地址创建了新的iCloud帐户。但通知并没有停止。当他坐在苹果天才吧时,他甚至收到了大量的“重置密码”警报。此时,克里斯几乎可以肯定攻击者正在使用他的电话号码,因为其他一切都已更改。
这显然是一次极其复杂的网络钓鱼攻击,但苹果允许向其设备发送无限数量的通知这一事实令人不安。黑客和坏人总是会找到新的方法来欺骗我们,但苹果需要确保它不会向他们提供有用的工具来吓唬客户交出他们的私人数据。