IT之家 11 月 20 日消息，科技媒體 Appleinsider 昨日（11 月 19 日）發布博文，報道稱一種高度復雜的釣魚騙局正瞄準蘋果用戶。該騙局巧妙地結合了真實的蘋果系統警報、偽造的客服電話和精準的時機，讓用戶誤以為自己的賬戶正遭受攻擊，并主動“配合”攻擊者完成賬戶竊取。

IT之家援引(yin)博文介(jie)紹，與傳統釣魚攻擊(ji)不同，這種騙局幾乎在每(mei)一(yi)步都利用了蘋果(guo)的真實行為，讓其可信度大(da)大(da)增加，即(ji)使用戶具備(bei)一(yi)定的安全意識(shi)也極易落入圈(quan)套。

攻擊始于用戶設備（、、Mac）突然收到海量的雙因素認證彈窗通知。這些通知均來自蘋果的真實服務器，瞬間給用戶制造了賬戶被入侵的恐慌感。

緊接著，攻擊者會冒充蘋果支持人員致電用戶，以冷靜、專業的口吻表示將協助處理安全問題。為了進一步獲取信任，攻擊者會利用用戶的郵箱信息在蘋果官方系統創建一個真實的支持案例，導致用戶收到一封與來電所述細節完全匹配的官方郵件，從而徹底打消疑慮。

在通話中(zhong)，攻(gong)擊者會(hui)引導(dao)用(yong)戶(hu)自行在“設置”中(zhong)重置密(mi)(mi)碼，由于全程無需(xu)分(fen)享密(mi)(mi)碼或驗證碼，用(yong)戶(hu)的(de)戒心會(hui)降到(dao)最低。隨后，攻(gong)擊者聲稱需(xu)要用(yong)戶(hu)點(dian)擊短(duan)信中(zhong)的(de)鏈接來關閉支持案例。

該鏈接指向一個名為“appeal-apple.com”的釣魚網站，該網站不僅設計精良，甚至擁有有效的安全證書。當用戶在網站上輸入真實的案例編號后，攻擊者會觸發一次真實的登錄請求，此時用戶收到的蘋果官方驗證碼，便會被誘導輸入到這個釣魚網站上。

這個(ge)騙(pian)局之所以迷惑性極強，關(guan)鍵在(zai)于它利用(yong)了蘋果自身的(de)系統來(lai)營(ying)造合法性，并(bing)通過精(jing)準的(de)時機協調壓倒了用(yong)戶的(de)直覺(jue)。攻(gong)擊者全程(cheng)保持(chi)耐心(xin)，避(bi)免使用(yong)催促性話術(shu)，讓整個(ge)過程(cheng)看起(qi)來(lai)像是(shi)常規的(de)官方支持(chi)。

這次事件(jian)表明，即(ji)便是雙因素認證，在用戶(hu)被誤(wu)導交出驗證碼后也會失效。為保障安全(quan)，用戶(hu)應將(jiang)任何未經請求的安全(quan)來電視為不可信，切勿在非(fei)官方(fang)頁面(mian)輸(shu)入(ru)驗證碼。

廣告(gao)聲(sheng)明：文內含有的(de)對外(wai)跳轉(zhuan)鏈接（包括不限于超(chao)鏈接、二(er)維(wei)碼、口令等形式），用于傳(chuan)遞更(geng)多信息，節省甄選時間，結(jie)果僅(jin)供參考，IT之家所有文章均包含本(ben)聲(sheng)明。