IT之家 11 月 20 日消息，科技媒體 Appleinsider 昨日（11 月 19 日）發(fā)布博文，報(bào)道稱一種高度復(fù)雜的釣魚(yú)騙局正瞄準(zhǔn)蘋果用戶。該騙局巧妙地結(jié)合了真實(shí)的蘋果系統(tǒng)警報(bào)、偽造的客服電話和精準(zhǔn)的時(shí)機(jī)，讓用戶誤以為自己的賬戶正遭受攻擊，并主動(dòng)“配合”攻擊者完成賬戶竊取。

IT之家援引博文介紹，與傳統(tǒng)釣魚(yú)攻擊不同，這種騙局幾乎在每一步都利用了蘋果的真實(shí)行為，讓其可信度大大增加，即使用戶具備一定的安全意識(shí)也極易落入圈套。

郵件中的可疑鏈接。圖源：Eric Moret

攻擊始于用戶設(shè)備（iPhone、iPad、Mac）突然收到海量的雙因素認(rèn)證彈窗通知。這些通知均來(lái)自蘋果的真實(shí)服務(wù)器，瞬間給用戶制造了賬戶被入侵的恐慌感。

緊接著，攻擊者會(huì)冒充蘋果支持人員致電用戶，以冷靜、專業(yè)的口吻表示將協(xié)助處理安全問(wèn)題。為了進(jìn)一步獲取信任，攻擊者會(huì)利用用戶的郵箱信息在蘋果官方系統(tǒng)創(chuàng)建一個(gè)真實(shí)的支持案例，導(dǎo)致用戶收到一封與來(lái)電所述細(xì)節(jié)完全匹配的官方郵件，從而徹底打消疑慮。

詐騙分子已向蘋果公司提出申訴。圖源：Eric Moret

在通話中，攻擊者會(huì)引導(dǎo)用戶自行在“設(shè)置”中重置密碼，由于全程無(wú)需分享密碼或驗(yàn)證碼，用戶的戒心會(huì)降到最低。隨后，攻擊者聲稱需要用戶點(diǎn)擊短信中的鏈接來(lái)關(guān)閉支持案例。

通過(guò)短信發(fā)送的雙因素身份驗(yàn)證碼。圖源：Eric Moret

該鏈接指向一個(gè)名為“appeal-apple.com”的釣魚(yú)網(wǎng)站，該網(wǎng)站不僅設(shè)計(jì)精良，甚至擁有有效的安全證書(shū)。當(dāng)用戶在網(wǎng)站上輸入真實(shí)的案例編號(hào)后，攻擊者會(huì)觸發(fā)一次真實(shí)的登錄請(qǐng)求，此時(shí)用戶收到的蘋果官方驗(yàn)證碼，便會(huì)被誘導(dǎo)輸入到這個(gè)釣魚(yú)網(wǎng)站上。

這個(gè)騙局之所以迷惑性極強(qiáng)，關(guān)鍵在于它利用了蘋果自身的系統(tǒng)來(lái)營(yíng)造合法性，并通過(guò)精準(zhǔn)的時(shí)機(jī)協(xié)調(diào)壓倒了用戶的直覺(jué)。攻擊者全程保持耐心，避免使用催促性話術(shù)，讓整個(gè)過(guò)程看起來(lái)像是常規(guī)的官方支持。

這次事件表明，即便是雙因素認(rèn)證，在用戶被誤導(dǎo)交出驗(yàn)證碼后也會(huì)失效。為保障安全，用戶應(yīng)將任何未經(jīng)請(qǐng)求的安全來(lái)電視為不可信，切勿在非官方頁(yè)面輸入驗(yàn)證碼。