11 月 20 日消息,科技媒体 Appleinsider 昨日(11 月 19 日)发布博文,报道称一种高度复杂的钓鱼骗局正瞄准苹果用户。该骗局巧妙地结合了真实的苹果系统警报、伪造的客服电话和精准的时机,让用户误以为自己的账户正遭受攻击,并主动“配合”攻击者完成账户窃取。
援引博文介绍,与传统钓鱼攻击不同,这种骗局几乎在每一步都利用了苹果的真实行为,让其可信度大大增加,即使用户具备一定的安全意识也极易落入圈套。
攻击始于用户设备(iPhone、iPad、Mac)突然收到海量的双因素认证弹窗通知。这些通知均来自苹果的真实服务器,瞬间给用户制造了账户被入侵的恐慌感。
紧接着,攻击者会冒充苹果支持人员致电用户,以冷静、专业的口吻表示将协助处理安全问题。为了进一步获取信任,攻击者会利用用户的邮箱信息在苹果官方系统创建一个真实的支持案例,导致用户收到一封与来电所述细节完全匹配的官方邮件,从而彻底打消疑虑。
在通话中,攻击者会引导用户自行在“设置”中重置密码,由于全程无需分享密码或验证码,用户的戒心会降到最低。随后,攻击者声称需要用户点击短信中的链接来关闭支持案例。
该链接指向一个名为“appeal-apple.com”的钓鱼网站,该网站不仅设计精良,甚至拥有有效的安全证书。当用户在网站上输入真实的案例编号后,攻击者会触发一次真实的登录请求,此时用户收到的苹果官方验证码,便会被诱导输入到这个钓鱼网站上。
这个骗局之所以迷惑性极强,关键在于它利用了苹果自身的系统来营造合法性,并通过精准的时机协调压倒了用户的直觉。攻击者全程保持耐心,避免使用催促性话术,让整个过程看起来像是常规的官方支持。
这次事件表明,即便是双因素认证,在用户被误导交出验证码后也会失效。为保障安全,用户应将任何未经请求的安全来电视为不可信,切勿在非官方页面输入验证码。
