iPhone、iPad、または Mac で仕事に取り組んでいるときに、突然 Apple ID パスワードのリセットを求めるポップアップが大量に表示されたら、少しびっくりするのは当然です。問題は、これは実際に起こっていることであり、それが自分の身に起こった場合、パニックに陥る必要はなく、注意を払う必要があります。
Apple IDパスワードリセット攻撃の背後にあるもの
セキュリティに関するクレブス氏の説明によると, 悪意のある攻撃者は、デバイスにパスワード リセット リクエストをスパム送信することで Apple ユーザーを攻撃しています。これらのポップアップは、無視するか、許可するまたは許可しないでくださいオプション。つまり、デバイスの使用を続けるには、常にタップする必要があります。許可しないでください。
ポップアップ自体は必ずしも悪意のあるものではありません。これは、Apple が信頼できないデバイスまたは Web 上で Apple ID パスワードを変更できるようにする方法です。 Apple ID のパスワードを忘れて次の手順を実行したとします。Apple のパスワード リセット Web サイトリセットするには: 適切な量の情報を入力すると、Apple は信頼できる接続されたデバイスにリセット プロセスを承認するためのポップアップを送信します。承認したら、新しいパスワードを入力できます。
しかし、悪意のある者が行っていることは、Apple の MFA (多要素認証) プロセスの脆弱性を悪用して、これらのリセット ポップアップをデバイスに送信するだけでなく、実際にスパムを送信することです。ポップアップを閉じても、すぐに別のポップアップが表示されます。被害者の 1 人は、100 件以上のポップアップを閉じる必要がありました彼らがついに止まる前に。
攻撃者がどのようにしてユーザーにポップアップをスパム送信しているのかは正確にはわかりませんが、攻撃者がどのように被害者をターゲットにしているかを想像するのは難しくありません。 Apple のパスワード リセット サイトにアクセスするときは、Apple ID と電話番号を提示する必要があります。攻撃者があなたのこれら 2 つの認証情報を知っている場合、自由にリセット ポップアップをトリガーできます。
もちろん、あなたはしないでください打ちたい許可する。そうすると、このパスワード要求を初期化している人が、あなたの代わりにあなたのパスワードを変更できるようになります。そうなると、彼らは自分のデバイスであなたのアカウントにログインし、あなたをロックアウトできるようになります。誤ってタップしてしまうだけでも十分怖いですが、許可する何度もスパムを受信しているのに、Apple Watch にもポップアップが表示されるのはさらに懸念すべきことです。 Krebs on Security は、睡眠中に時計にポップアップを受け取ったある被害者について報告しています。自分が誤ってタップしてしまうのが想像できました許可する寝ぼけていたら、通知を無視しようとしているだけです。
「許可しない」を押しても終わりではありません
たとえ攻撃者を待ち構えてこれらの通知を何度も無視できたとしても、攻撃者は別の戦術を講じている可能性があります。彼らはあなたの電話番号を知っているので、Apple サポートの番号を偽ってあなたに直接電話をかけてきます。 (文字通り、着信側として Apple サポートの公式番号が表示されます。)
あなたがこの電話に応答した場合、攻撃者はあなたが Apple サポートであると信じ込ませようと全力を尽くし、おそらく彼らが持っているあなたの特定の情報を「証拠」として提示するでしょう。騙されると、SMS ベースの OTP (ワンタイム パスワード) コードがトリガーされます。Apple は、見知らぬ場所にログインするときに、このコードを使用して身元を証明します。このコードを誰とも共有しないでください。 Apple は、ユーザーに送信するテキストにもその警告を含めています。理想的には、最初から攻撃者と話をしないことですが、すでにこの状況に陥っている場合は、Apple サポートが自らこのコードを要求することは決してないことを知っておいてください。
残念ながら、攻撃者があなたの Apple ID と電話番号をすでに知っている場合、これらのスパム ポップアップから身を守る方法はないようです。唯一やるべきことは電話番号を変更することですが、この場合、おそらくそれは価値があるというよりも面倒です。 (しかし、それをする他の理由がある場合は、それだけの価値はあるかもしれません。) これらの悪者が私たちを守るために悪用している脆弱性を Apple が修正してくれるまで待つ必要があります。それまでは誰も信用せず、決してタップしないでください許可するまたはわかりました未承諾のポップアップについて。
