تعرض مستخدمي أجهزة آبل خلال الأيام الماضية لموجة جديدة من هجمات التصيد الاحتيالي تُسمى (MFA Bombing)، استهدفت جميع أجهزة آبل بداءً من هواتف آيفون، وحواسيب ماك، وأجهزة آيباد، وحتى ساعات آبل الذكية عن طريق إغراق المستخدم بإشعارات طلب تغيير كلمة مرور حساب (Apple ID).
ووفقًا لتقرير نشره الخبير الأمني (براين كريبس) في مدونته، استند فيه إلى أقوال أشخاص تعرضوا للاستهداف، أفاد العديد من مستخدمي أجهزة آبل أنهم تلقوا عدد كبير من الإشعارات التي تطلب إذنهم لتغيير كلمة مرور حسابهم عبر جميع أجهزتهم، مما شكل حالة من الإزعاج الكبير، لأن المستخدم لا يمكنه استخدام جهازه بنحو طبيعي إلا بعد الضغط على هذه الإشعارات كلها والتخلص منها.
وعندما يستقبل المستخدم هذه الإشعارات، يكون عليه التفاعل معها جميعًا، واحد تلو الآخر، من خلال الضغط على الإشعار، وبعد ذلك الضغط على خيار من اثنين، (السماح) Allow، أو (عدم السماح (Don’t Allow).
وقد شارك مستخدم يُسمى (بارث باتيل) ما حدث معه في هذا الهجوم عبر منصة إكس، وقال إنه لم يستطيع استخدام أجهزته إلا بعد النقر على خيار (عدم السماح) في أكثر من 100 إشعار.
The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.
First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.
Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN
— Parth (@parth220_) March 23, 2024
وبافتراض أن المستخدم ضغط عن طريق الخطأ على زر (السماح) Allow، سيؤدي ذلك إلى السماح للمهاجم بإعادة تعيين كلمة مرور حساب (Apple ID)، مما يمنحه حق الوصول إلى الحساب.
وإذا لم ينجح العدد الهائل من الإشعارات في إرباك المستخدم لكي يضغط على زر (السماح)، سيلجأ المهاجمون إلى المرحلة الثانية، إذا كانوا يعرفون رقم هاتف المستخدم، إذ ستكون الخطوة التالية هي انتحال المخترق صفة أحد موظفي خدمة عملاء آبل، ويجري مكالمة هاتفية مع المستخدم، ليخبره بأن الشركة لاحظت تعرض حسابه لمحاولات اختراق، ولتأمين الحساب وتغيير كلمة المرور، سيطلب الحصول على الرمز المؤقت الذي حصل عليه المستخدم في رسالة نصية عبر هاتفه.
وعندما تنجح هذه الحيلة، ويحصل المخترق على الرمز المؤقت سيستخدمه لإكمال عملية تغيير كلمة مرور الحساب، وبمجرد نجاحه في هذه العملية سيصل إلى كافة بيانات المستخدم الموجودة في الحساب، ويمكنه طرد المستخدم نهائيًا من جميع الأجهزة المسجلة بهذا الحساب، كما يمكنه حذف كافة البيانات الموجودة في هذه الأجهزة من بُعد.
وفي حالة المستخدم (باتيل) الذي شارك مع حدث معه، قال إنه تلقى المكالمة ولكنه كان متشكك للغاية لأن المتصل طلب منه الرمز المؤقت الذي ترسله آبل مع رسالة تؤكد أنها لا تطلب تلك الرموز، لذلك طلب من المتصل التحقق من بعض المعلومات عنه، وللغرابة أعطاه المتصل معلومات دقيقة للغاية، باستثناء اسمه الحقيقي.
يقول (باتيل) إنه عندما طلب من المتصل التحقق من الاسم الموجود في ملفه الخاص بحساب آبل، أعطاه المتصل اسمًا لم يكن اسمه الحقيقي ولكنه اسم لم يراه باتيل إلا في تقارير بيانات مسربة معروضة للبيع عبر موقع ويب للبحث عن الأشخاص يُسمى PeopleDataLabs.
ما الثغرات الموجودة في نظام آبل التي تسببت في هذا الهجوم؟
بحث الخبير الأمني (براين كريبس) في المشكلة، ووجد أن المهاجمين يستخدمون صفحة في موقع آبل مخصصة لإعادة تعيين كلمة مرور (Apple ID) في حالة نسيانها، لإرسال إشعارات غير مرغوب فيها. وتتطلب هذه الصفحة البريد الإلكتروني أو رقم الهاتف، كما أنها تحتوي على اختبار (CAPTCHA)، عند إدخال عنوان البريد الإلكتروني، تعرض الصفحة آخر رقمين من رقم الهاتف المرتبط بحساب آبل، وبمجرد إدخال رقم الهاتف والضغط على إرسال يصل للمستخدم إشعار لطلب تعيين كلمة المرور.
ليس من الواضح ما الثغرة التي يستغلها المهاجمون في النظام لإرسال رسائل متعددة إلى مستخدمي آبل، لأنه من غير المحتمل أن يكون نظام آبل مصممًا لإرسال أكثر من 100 طلب في وقت قصير، لذلك يُفترض أن هناك خلل آبل ليست على علم به.
ومن ثم كشف (براين كريبس) عن وجود خللين في نظام آبل لتغيير كلمة مرور حسابات المستخدمين، وهما؛ الأول: يسمح للمخترق بإرسال عدد كبير من الإشعارات إلى جهاز المستخدم دون وجود حد أقصى في وقت قصير، مما يرفع احتمالية ضغط المستخدم والموافقة على تغيير كلمة المرور بالخطأ.
والثاني: يتمثل في مزية (Apple Recovery Key)، التي أطلقتها آبل لحماية حسابات Apple ID، والتي عندما تُفعل فمن المفترض أن تعطل تغيير كلمات المرور بالطريقة التقليدية المعتمدة على إرسال الإشعارات إلى أجهزة المستخدم، ولكنها لم تؤد مهمتها المتوقعة منها عندما استخدامها بعض الأشخاص الذي تعرضوا للهجوم للتخلص من الإشعارات التي تصل إليهم على مدار أيام.
ماذا تفعل إذا تعرضت لهذا الهجوم؟
لا يوجد حتى الآن طريقة واضحة وفعالة للتخلص من الكم الهائل من الإشعارات الذي يصل إلى مستخدمي أجهزة آبل، والذي قد يستمر لعدة أيام. لذلك يجب على مالكي أجهزة آبل المستهدفين في هذا الهجوم أن يكونوا يقظين وأن يضغطوا على خيار (عدم السماح) في كل مرة يظهر لهم إشعارات.
وإذا تلقوا مكالمات هاتفية تطلب منهم بيانات للمساعدة في حل المشكلة، يجب التأكد من عدم تقديم أي معلومات حساسة لأي شخص، حتى لو كانت المكالمة الهاتفية تبدو واردة من دعم آبل، إذ يُعدّ انتحال رقم هاتف أمرًا بسيطًا الآن، لذا فإن أفضل إجراء هو إنهاء المكالمة والاتصال بدعم آبل مباشرة.
ويجب أن تضع في اعتبارك أن آبل لن تطلب معلومات العملاء عبر الهاتف كشكل من أشكال التحقق، وهذا مؤشر آخر على أن المتصل ليس حقيقًا.