一項針對全球高達 14.6億的 iPhone 用戶的新型網絡釣魚攻擊引起了廣泛關注。據 Symantec 公司於7月2日發佈的博文,這種釣魚攻擊主要針對的是 Apple 的 Apple ID 賬戶,其目的是通過偽造官方郵件和消息的形式,誘導用戶點擊含有惡意軟件的鏈接,以此來非法獲取用戶的個人信息和敏感數據。
在這篇博文中, Symantec 描述了具體的過程。他們通過模仿 Apple 官方發出的電子郵件或短信,引導用戶訪問一個所謂的「重要 iCloud 通知」鏈接。一旦用戶點擊這些鏈接,他們將被導向虛假的 iCloud 頁面。在這個假網站上,用戶被要求輸入他們的 Apple ID 和密碼,而一旦這些資料被提交,攻擊者便能夠輕易地竊取這些敏感數據。
儘管大多數此類釣魚攻擊是通過電子郵件進行的,但通過惡意短信進行的攻擊也日益增多。例如,用戶可能會收到一條短信,內容如下:「Apple 重要請求 iCloud:請訪問 signin [.] authen-connexion [.] info / icloud 以繼續使用您的服務。」
面對這種日益猖獗的網絡釣魚攻擊,Apple 公司建議用戶啓用雙因素認證(2FA)功能。2FA是一種增強賬戶安全的措施,它要求用戶除了輸入常規的用戶名和密碼之外,還需要提供一個由短信發送的一次性六位數代碼。這個額外的驗證步驟大大增加了黑客破解賬戶的難度,為用戶的數據安全提供了更堅實的保障。
