セキュリティ

iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される


iPhoneにApple IDのパスワードリセットを求める通知を連続送信してApple IDを奪い取る攻撃手法の存在が確認されました。攻撃者は「Apple公式サポートを装った電話」も併用しているとのことです。

Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security
https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

Last night, I was targeted for a sophisticated phishing attack on my Apple ID.

This was a high effort concentrated attempt at me.

Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.

???? Here’s how it went down:

— Parth (@parth220_)


Apple IDのパスワードを忘れた場合、パスワードの再設定ページからパスワードのリセットを要求することができます。パスワードをリセットするには再設定ページにメールアドレスや電話番号を入力する必要があるほか、使用中のApple製デバイスに送信されるパスワードリセットを求める通知で「許可する」を選択する必要があります。また、当該通知が表示された場合、「許可しない」か「許可する」のいずれかをタップするまで通知は消えず、デバイスを操作できなくなります。


XユーザーのParth氏が投稿した被害報告によると、2024年3月23日の18時36分頃ににParth氏が所持するすべてのApple製デバイスにパスワードリセットの許可を求める通知が100件以上届いたとのこと。「許可しない」をタップしても即座に次の通知が表示されるため、Parth氏はiPhoneやMacBookなどを使えない状態になってしまいました。

The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.

First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.

Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN

— Parth (@parth220_)


さらに、通知が連続送信されてから約15分後にApple公式サポートを名乗る人物から電話がかかってきたとのこと。不審に思ったParth氏が通話相手に対して「Apple公式サポートなら知っているはずのParth氏の個人情報」を言うように求めたところ、通話相手はParth氏の生年月日やメールアドレス、電話番号、住所、過去の住所を正確に言い当てました。

About 15 minutes later, they call me on my number, using Caller ID spoofing of the official Apple Support phone line (1 (800) 275-2273).

They really emphasized this detail to win trust from the victim.

I was obviously still on guard, so I asked them to validate a ton of… pic.twitter.com/Xi12VzrNy5

— Parth (@parth220_)


しかし、通話相手はParth氏の名前を「アンソニー」と誤って認識していたとのこと。実はParth氏の個人情報は「People Data Labs」という個人情報提供サービスに「名前や職業が間違った状態」で登録されており、通話相手はPeople Data Labsの情報をもとに誤った名前を答えてしまったというわけです。Parth氏は自らの情報がPeople Data Labsに誤って登録されていることを偶然知っていたため、通話相手がApple公式サポートを装った詐欺師であることに気付くことができました。

Thankfully I was tipped off that they used my data from People Data Labs in real time to validate a ton of information.

Despite correctly stating all of my data, the phishers thought my name was Anthony S.

????????????????????????

The reason I caught it is because, I’ve queried myself on… pic.twitter.com/dUMitmphKS

— Parth (@parth220_)


通話相手は最終的にワンタイムパスワードを教えるように要求してきたそうですが、詐欺を確信したParth氏は被害を避けることに成功しました。


Parth氏は運よくApple IDの奪取を防ぐことができましたが、「パスワードリセット通知の『許可する』をタップする」「ワンタイムパスワードを教える」のいずれかの対応を取った場合、攻撃者にApple IDを乗っ取られてしまいます。また、Parth氏の事例では攻撃者は「通知の連続送信」と「Apple公式サポートを装った電話」の二段構えで攻撃していましたが、セキュリティ専門家のブライアン・クレブス氏によると「通知の連続送信」だけが実行される事例も報告されているとのこと。

クレブス氏はパスワードリセットの確認通知を連続で送信できてしまうAppleのシステムにも問題があると指摘しています。

この記事のタイトルとURLをコピーする

・関連記事
InstagramとFacebookアカウントがハッキングされ乗っ取りが爆増しているのにサポートが貧弱な件について41もの州司法長官の連合が運営元のMetaに対処を求める書簡を一斉に公表 - GIGAZINE

Appleが「市販の無線デバイスでiPhoneにBluetooth接続を要求しまくってクラッシュさせる攻撃」への対策をiOS 17.2で実施 - GIGAZINE

10万件超のChatGPTアカウントが盗まれてダークウェブで取引されていることが判明、企業の機密情報が漏えいする危険も - GIGAZINE

アメリカ証券取引委員会がSNSで偽のビットコイン承認投稿をしたのは「SIMスワップ攻撃」によるハッキングが原因 - GIGAZINE

・関連コンテンツ

in モバイル,   セキュリティ, Posted by log1o_hf

You can read the machine translated English article here.