Apple kullanıcılarını hedefleyen sofistike kimlik avı saldırılarında yakın zamanda bir artış oldu. Bu saldırılar, Apple'ın şifre sıfırlama özelliğindeki güvenlik açıklarından yararlanır ve kullanıcıların Apple Kimlik Hesaplarına yetkisiz erişim elde etmeyi amaçlar.
“MFA Bombalama” olarak adlandırılan böyle bir saldırı, kullanıcıları çok sayıda bildirim veya çok faktörlü kimlik doğrulama (MFA) ile Apple kimlik şifrelerini değiştirme isteği ile bombalar. Amaç, kullanıcıları ezmek ve kimlik doğrulama isteklerinin yanlışlıkla onaylanmasına yol açmaktır.
Bu kimlik avı saldırıları elma cihazlarınızı sahte girişlerle sular altında bırakır
Kimlik avı saldırısı, bilgisayar korsanlarının sistem düzeyinde şifre değiştirme istemleriyle elma cihazlarını bombalamasıyla başlar. Kullanıcılar, şifre değişikliklerini onaylamalarını veya reddetmelerini isteyen tekrarlanan bildirimler alırlar. Bir kullanıcı yanlışlıkla “İzin Ver” i tıklarsa, saldırgan Apple Kimliği üzerinde kontrol kazanır ve kullanıcıyı kendi hesaplarından kilitler.
Saldırganlar, Apple'ın şifre sıfırlama sistemindeki bir hatadan yararlanır ve iPhone, Mac ve Apple saatleri gibi cihazların sürekli şifre değiştirme bildirimlerini görüntülemesine neden olur. Bu bildirimler, kullanıcı isteği onaylayana veya reddedene kadar devam eder. Bilgisayar korsanları, kötü niyetli isteği yanlışlıkla onaylayacaklarını umarak kullanıcıların tükenmesinden veya karışıklığından yararlanır.
İLGİLİ:US DOJ, Antitröst Endişelerine göre Apple'ın iPhone ekosistemini hedefliyor
Ayrıca, saldırganlar telefon görüşmeleri sırasında Apple destek temsilcileri gibi davranarak arayan kimlik sahtekarlığına başvurabilirler. Parola değiştirme girişimleri sırasında kullanıcıların cihazlarına gönderilen bir kerelik şifreler (OTP'ler) isteyerek daha fazla güven kazanmaya çalışırlar.
- PSA: Apple Silikon Cipsleri Şifreleme Anahtar Hırsızlığına Korunmasız
AI girişimcisi Parth Patel de dahil olmak üzere birçok Apple kullanıcısı bu saldırılara kurban oldu. Patelortak100'den fazla şifre alma deneyimi ve Apple desteği olarak poz veren saldırganlardan bir parodi çağrısı.
Saldırganların sızdırılmış veritabanlarından elde edilen kişisel bilgilere erişimi, saldırıya bir sofistike katman ekler. Patel'in temkinli yaklaşımına rağmen, saldırganların doğru kişisel verileri vardı ve artan uyanıklık ihtiyacını vurguladı.
Cihazınızı kimlik avı saldırılarına karşı nasıl koruyabilirsiniz?
Kullanıcılar, Apple hesaplarını kimlik avı saldırılarına karşı korumak için proaktif önlemler benimsemelidir.
- Özellikle OTPS gibi hassas bilgiler talep ettikleri takdirde beklenmedik şifre değiştirme isteklerini veya telefon görüşmelerini sorgulayın.
- Şüphe duyduğunuzda, istenmeyen çağrılara veya mesajlara yanıt vermek yerine Apple'a doğrudan resmi kanallarla iletişime geçin.
- 2FA'nın uygulanması, hem şifre hem de ikincil bir doğrulama yöntemi gerektiren ekstra bir güvenlik katmanı ekler.
- Ortaya çıkan tehditleri tanımak ve kendinizi buna göre korumak için siber güvenlik haberleri ve güncellemeler hakkında bilgi sahibi olun.
Saldırganlar tarafından kullanılan taktikleri anlayarak ve uyanık kalarak, kullanıcılar bu tür kötü niyetli planlara kurban düşme riskini azaltabilirler. Kişinin dijital kimliğini ve cihazlarını korumak, günümüzün birbirine bağlı dijital manzarasında çok önemlidir. Bilgilendirin, dikkatli olun ve güvende kalın.