網安局：重置密碼通知一發再發 蘋果手機用户應全部拒絕 | 聯合早報

網絡罪犯正運用蘋果系統重置密碼功能的一個“漏洞”，不斷髮送重置密碼通知給用户，讓他們的手機不斷收到通知，從而造成他們混亂並犯下錯誤，以騙取用户信息。

新加坡網絡安全局（CSA）4月9日在臉書發文提醒蘋果手機用户，如果不斷收到提示要重置蘋果户頭密碼，應全部拒絕。

用户應持續更新操作系統 以獲最新安全補丁

網安局指出，網絡罪犯通過這個方式進行釣魚攻擊，以騙取用户的信息。罪犯也有可能冒充蘋果公司的職員撥電給用户，因此公眾應提高警惕並拒絕接聽陌生來電。此外，用户應持續更新操作系統，以獲得最新安全補丁（security patch）的保護。

受訪網安專家向《聯合早報》解釋，這個攻擊模式稱為“推送轟炸攻擊”（push bombing）或多重認證疲勞攻擊，目的就是通過不斷髮送通知來讓用户感到混淆，讓用户犯錯而重置密碼，導致用户最終無法登錄自己的蘋果户頭，或導致用户的身份被盜竊。

手機網絡安全公司Appdome的移動應用程序安全防護專家金約翰（Jan Sysmans）説，這類攻擊模式的目的就是讓用户感到疲勞，從而犯錯。“對方只要有與受害者蘋果ID相連的電話號碼，就能加入數據庫內並讓整個過程自動化，不斷髮出重置密碼的請求。”

延伸閲讀

[蘋果發佈iPhone軟件更新 以解決機身過熱問題

](https://www.bdggg.com/2023/zaobao/news_2023_10_05_637688) [俄指美國入侵數千部蘋果手機

](https://www.bdggg.com/2023/zaobao/news_2023_06_02_611015) 新思科技東南亞軟件科技工程總監林素安説，這個攻擊是通過濫用多重認證系統的一個“漏洞”，向用户發出推送詢問是否要重置密碼。“這個推送會讓用户無法使用手機，直到他們選擇‘允許’或‘不允許’。”

他説，一些受害者按下‘允許’後，就會出現一個六位數密碼的頁面，用户下來就會收到冒充蘋果公司職員的來電，從而提升整個詐騙的可信度。

Check Point Software Technologies Harmony電子郵件研究員傑里米·富克斯（Jeremy Fuchs）説，用户在重置密碼時，新的密碼就落入網絡罪犯的手中，導致用户的設備可能被罪犯遠程操控。“在一些通報中，一些用户如果一直按‘不允許’，也可能收到網絡罪犯冒充蘋果公司職員的來電。”

專家：蘋果不會通過電郵電話詢問敏感資料

然而，受訪專家指出，蘋果不會通過職員撥電或通過電郵和電話，詢問用户的密碼或認證碼，因此接到這類電話就應立即警惕和小心。

至於網絡罪犯今後是否會更針對以往相對安全的蘋果iOS系統，專家指網絡罪犯一直都在尋找不同系統的缺陷，並制定相應的攻擊策略。

傑里米説，iOS以往就曾被針對，日後也繼續會是網絡罪犯的攻擊目標之一。“任何一種器材，無論是使用什麼操作系統，都可能成為潛在的攻擊目標。而且蘋果擁有龐大的用户羣，因此成為‘誘人’的目標。”

Keeper Security網絡安全專家安妮·卡特勒（Anne Cutler）則説，釣魚攻擊會持續進化，並變得越來越複雜，但用户只要採取簡單的措施，就能避免成為受害者。

例如，每個户頭都應設立獨特的密碼，並使用雙重認證來進一步保護。“如果重置密碼後一直收到不重置推送，就應該提高警惕。永遠不要泄漏一次性密碼等敏感資料，並記住像蘋果這樣的正當機構，不會通過這樣的方式要求用户提供敏感資料。”