一项针对全球高达 14.6亿的 iPhone 用户的新型网络钓鱼攻击引起了广泛关注。 据 Symantec 公司于7月2日发布的博文,这种钓鱼攻击主要针对的是 Apple 的 Apple ID 账户,其目的是通过伪造官方邮件和消息的形式,诱导用户点击含有恶意软件的链接,以此来非法获取用户的个人信息和敏感数据。
在这篇博文中, Symantec 描述了具体的过程。 他们通过模仿苹果官方发出的电子邮件或短信,引导用户访问一个所谓的「重要 iCloud 通知」链接。 一旦用户点击这些链接,他们将被导向虚假的 iCloud 页面。 在这个假网站上,用户被要求输入他们的Apple ID和密码,而一旦这些资料被提交,攻击者便能够轻易地窃取这些敏感数据。
尽管大多数此类钓鱼攻击是通过电子邮件进行的,但通过恶意短信进行的攻击也日益增多。 例如,用户可能会收到一条短信,内容如下:「Apple 重要请求 iCloud:请访问 signin [.] authen-connexion [.] info / icloud 以继续使用您的服务。」
面对这种日益猖獗的网络钓鱼攻击,苹果公司建议用户启用双因素认证(2FA)功能。 2FA是一种增强账户安全的措施,它要求用户除了输入常规的用户名和密码之外,还需要提供一个由短信发送的一次性六位数代码。 这个额外的验证步骤大大增加了黑客破解账户的难度,为用户的数据安全提供了更坚实的保障。
