最近、Apple ユーザーを脅かす新たなフィッシング攻撃、Apple パスワード リセット詐欺が出現しました。 この攻撃では「多要素認証(MFA)砲撃」手法が用いられ、Appleのパスワードリセット機能を悪用してユーザーを罠に陥れます。
私たちが知っていることは次のとおりです…
Apple データ漏洩: Apple パスワード リセット詐欺について私たちが知っているすべて
攻撃の仕組みは次のとおりです。攻撃者は、Apple のパスワード リセット機能を利用していることを示す通知をターゲット ユーザーに数十、場合によっては数百件送信します。 これらの通知は、ユーザーに Apple ID パスワードをリセットするよう求めます。 ユーザーが「許可」をクリックすると、詐欺師はユーザーの認証情報を侵害し、Apple ID にアクセスできるようになります。
さらに心配なのは、「許可しない」を選択したユーザーは安全ではありません。 その後、攻撃者はユーザーに電話をかけ始めますが、今度は Apple サポートから来たと主張します。 彼らは、ユーザーのデバイスにパスワードリセットコードを送信し、それを教えてもらうことを目的としています。 これを入手すると、詐欺師は Apple ID のパスワードをリセットし、ユーザーのアカウントに完全にアクセスできるようになります。
では、この攻撃から身を守るには何をすべきでしょうか?
- 受信通知のオプションはクリックしないでください
- Apple からの電話のように見えても、知らない番号からの電話には出ないでください。 Apple から電話がかかると、連絡先に保存していなくても、通常は番号の下に「Apple」と表示されます。
- 元 Apple 従業員として、カスタマー サービスとの継続的なファイルがない限り、Apple から電話がかかることは決してないことを指摘しなければなりません。
- Apple ID パスワードを変更するための 28 文字の回復キーを作成する
- 強力で予測不可能なパスワードを使用する
- 常に 2 要素認証を有効にする
- Appleからのメールや通知を注意深く確認してください
- 疑わしいと思われるリンクをクリックしないでください
- App Store 以外のサードパーティのソースからアプリをダウンロードしないでください
この新たなフィッシング攻撃は、サイバーセキュリティがいかに重要であるかを改めて示しています。 ユーザーはフィッシング攻撃を認識し、身を守る方法を知る必要があります。 Apple はこの問題に直ちに対処し、ユーザー保護を改善する必要があります。
注目の画像クレジット: redgreystock / Unsplash