11 月 20 日消息,科技媒体 Appleinsider 昨日(11 月 19 日)发布博文,报道称一种高度复杂的钓鱼骗局正瞄准苹果用户。该骗局巧妙地结合了真实的苹果系统警报、伪造的客服电话和精准的时机,让用户误以为自己的账户正遭受攻击,并主动“配合”攻击者完成账户窃取。
IT之家援引博文介绍,与传统钓鱼攻击不同,这种骗局几乎在每一步都利用了苹果的真实行为,让其可信度大大增加,即使用户具备一定的安全意识也极易落入圈套。
邮件中的可疑链接。图源:Eric Moret攻击始于用户设备(iPhone、iPad、Mac)突然收到海量的双因素认证弹窗通知。这些通知均来自苹果的真实服务器,瞬间给用户制造了账户被入侵的恐慌感。
紧接着,攻击者会冒充苹果支持人员致电用户,以冷静、专业的口吻表示将协助处理安全问题。为了进一步获取信任,攻击者会利用用户的邮箱信息在苹果官方系统创建一个真实的支持案例,导致用户收到一封与来电所述细节完全匹配的官方邮件,从而彻底打消疑虑。
诈骗分子已向苹果公司提出申诉。图源:Eric Moret在通话中,攻击者会引导用户自行在“设置”中重置密码,由于全程无需分享密码或验证码,用户的戒心会降到最低。随后,攻击者声称需要用户点击短信中的链接来关闭支持案例。
通过短信发送的双因素身份验证码。图源:Eric Moret该链接指向一个名为“appeal-apple.com”的钓鱼网站,该网站不仅设计精良,甚至拥有有效的安全证书。当用户在网站上输入真实的案例编号后,攻击者会触发一次真实的登录请求,此时用户收到的苹果官方验证码,便会被诱导输入到这个钓鱼网站上。
这个骗局之所以迷惑性极强,关键在于它利用了苹果自身的系统来营造合法性,并通过精准的时机协调压倒了用户的直觉。攻击者全程保持耐心,避免使用催促性话术,让整个过程看起来像是常规的官方支持。
这次事件表明,即便是双因素认证,在用户被误导交出验证码后也会失效。为保障安全,用户应将任何未经请求的安全来电视为不可信,切勿在非官方页面输入验证码。
【来源:IT之家】
<!-- 非定向300*250按钮 17/09 wenjing begin --> <!-- 非定向300*250按钮 end -->
</div>相关推荐
- 哪个品牌助听器效果好?未来客耳夹式助听器值得推荐吗?
- 科技赋能食安!冠宇仪器食品安全检测仪器生产基地落户江苏盐城
- 市场行业双收,鲜朗凭什么坐稳国内高端宠粮市场头把交椅?
- 猛士M817获《汽车风云盛典》认可,全维安全让每一次城野出行更具底气!
- 技术党狂喜!杰科 Q30 7.1.4 声道 + 双 WiFi 传输,3000 元档数码好物天花板
- 消息称索尼计划 2026Q1 向 PS5 Pro 游戏主机推送 AI 画质增强 PSSR 2.0
- 立讯精密、龙旗科技、鸿利智汇、鼎龙股份、凌云光、杰华特等10企披露最新收购/投资/募资等资本运作动向
- 立讯精密、龙旗科技、鸿利智汇、鼎龙股份、凌云光、杰华特等10企披露最新收购/投资/募资等资本运作动向
