Salah satu serangan terbaru terhadap iPhone menunjukkan pihak jahat menyalahgunakan sistem pengaturan ulang kata sandi ID Apple untuk membanjiri pengguna dengan perintah iOS untuk mengambil alih akun mereka. Inilah cara Anda melindungi terhadap serangan pengaturan ulang kata sandi iPhone (sering disebut “pengeboman MFA”).
Baru-baru ini kami mendengar tentang pengguna Apple yang menjadi sasaran pengeboman MFA (juga disebut kelelahan MFA atau pengeboman dorong). Ini bukan serangan baru, tapi ini bisa menjadi penipuan yang meyakinkan karena memberikan perintah pengaturan ulang kata sandi iOS resmi kepada korbannya.
Sebagaimana dirinci oleh Krebs tentang Keamanan (melalui Parth Patel), penyerang yang menyalahgunakan kerentanan ini tampaknya melakukannya melalui nomor telepon pengguna Apple yang dapat membom iPhone Anda dan perangkat Apple lainnya dengan 100+ perintah sistem MFA (otentikasi multi-faktor) untuk mengatur ulang kata sandi ID Apple Anda.
Pembaruan 21/4/24: Kami belum melihat lebih banyak kasus “pemboman” dari serangan ini sejak Apple mendorong perbaikan pada akhir Maret. Namun, saya dan rekan setim 9to5Mac melihat serangan kata sandi akhir pekan ini di perangkat Apple kami.
Dalam kasus saya, saya mendapat perintah pengaturan ulang kata sandi di iPhone dan Mac saya. Untungnya, itu hanya satu permintaan di setiap perangkat sehingga permintaan tersebut dengan cepat ditolak. Tetap waspada dan aman di luar sana!
Pembaruan 28/3/24 14:40 PT : 9to5Mac telah mendengar dari juru bicara Apple tentang masalah ini. Perusahaan mengetahui beberapa kasus serangan phishing baru-baru ini dan Apple telah mengambil tindakan untuk menyelesaikan masalah tersebut.
Cara melindungi dari serangan pengaturan ulang kata sandi iPhone
Tolak, tolak, tolak Karena permintaan setel ulang kata sandi adalah peringatan tingkat sistem, rasanya meyakinkan – tetapi pastikan untuk memilih “Jangan Izinkan” untuk semuanyaPenyerang satu arah melemahkan korban adalah dengan membombardir mereka dengan ratusan perintah, terkadang selama beberapa hari – terus pilih “Jangan Izinkan” dan secara opsional gunakan langkah 3 di bawahCatatan: Jika Anda melihat perintah pengaturan ulang kata sandi di web, itu mungkin merupakan phishing yang berbeda penipuan, tutup halaman karena salah satu tombol dapat mengarah ke tautan berbahaya Jangan menjawab panggilan telepon – meskipun ID penelepon mengatakan “Dukungan Apple” atau sejenisnya
Penyerang menggunakan spoofing panggilan yang dapat membuat nomor masuk muncul sebagai nomor telepon resmi Dukungan Apple dan mereka mungkin dapat memverifikasi informasi pribadi sehingga penipuan tersebut terdengar sah. Selanjutnya, mereka mencoba mendapatkan kode sandi satu kali dari Anda untuk mengambil alih Apple Anda akunJika ragu, tolak panggilan – dan hubungi Apple kembali (800.275.2273 di AS) – spoofing panggilan seharusnya tidak dapat mencegat panggilan keluar Anda ke Apple yang sebenarnya, Apple menyorotinya tidak akan membuat panggilan keluar “kecuali jika pelanggan meminta untuk dihubungi” dan Anda sebaiknya jangan pernah membagikan kode sekali pakai kepada siapa pun Untuk sementara ubah nomor telepon Anda yang dikaitkan dengan ID Apple Anda
Jika Anda terus mendapatkan petunjuknya, mengubah nomor telepon yang terkait dengan ID Apple Anda akan menghentikannyaNamun, perlu diingat ini akan mengganggu iMessage dan FaceTime Detail lebih lanjut
Seperti disebutkan dalam artikel Krebs tentang Keamanan, tampaknya ada tarifnya batasi masalah dengan sistem pengaturan ulang kata sandi ID Apple.
Sistem otentikasi apa yang dirancang dengan baik akan mengirimkan lusinan permintaan perubahan kata sandi dalam rentang waktu beberapa saat, ketika permintaan pertama bahkan belum ditindaklanjuti oleh pengguna? Mungkinkah ini akibat dari bug pada sistem Apple?
Mudah-mudahan, Apple sedang melakukan perbaikan sehingga pihak jahat tidak dapat menyalahgunakan sistem ini. Namun sayangnya, penipuan pengaturan ulang kata sandi telah disorot oleh pengguna setidaknya selama dua tahun (mungkin lebih).
Salah satu korban baru-baru ini menceritakan bahwa seorang insinyur senior di Apple menyarankan dia untuk mengaktifkan fitur Kunci Pemulihan untuk ID Apple-nya guna menghentikan pemberitahuan pengaturan ulang kata sandi. Namun, dalam pengujian lebih lanjut, hal tersebut tidak terjadi, dan Krebs pada Kunci Pemulihan Apple yang diverifikasi Keamanan tidak mencegah permintaan pengaturan ulang kata sandi.
Terkait:
Berikut cara melindungi dari ‘GoldPickaxe’, trojanPSA iPhone pertama: Kloning suara AI dan spoofing panggilan menciptakan penipuan meyakinkan yang menakutkan, berikut cara melindungi diri Anda sendiriCara mengaktifkan Perlindungan Perangkat iPhone yang Dicuri; dan haruskah Anda? Gambar oleh 9to5Mac
Itulah konten tentang Berikut cara melindungi dari serangan pengaturan ulang kata sandi iPhone [U], semoga bermanfaat.