🎣 Gone (Almost) Phishin' ⭐⭐⭐⭐⭐
⚠️ 高度危险: 这是一起真实发生的高级钓鱼攻击,Matt Mullenweg 亲身经历。攻击者技术含量极高,几乎成功。
📋 攻击流程还原
- MFA Bombing — 攻击者对目标账户进行大量密码重置请求 spam,所有设备同时弹出密码重置提示
- Apple Support 工单 — 攻击者主动联系 Apple Support,伪装成事主,声称手机丢失需要更新号码,开启真实工单
- 生成真实邮件 — 工单触发 Apple 官方邮件发送到收件箱(正确签名,无法被过滤)
- 电话钓鱼 — "Alexander from Apple Support" 来电,提供"良好安全建议"获取信任
- 钓鱼网站 — 发送 audit-apple.com 链接(Apple ID 完美克隆,显示真实工单 ID)
- 社交工程 — 要求使用"Sign in with Apple"登录,意图窃取凭证
🔍 攻击技术细节
- 真实工单 ID: 攻击者创建的 Apple Support 工单生成了真实的工单 ID
- 完美克隆站: audit-apple.com 是 apple.com 的像素级复制
- 虚假聊天记录: 网站显示攻击者与 Apple 的真实对话作为"证据"
- 未验证输入: 网站接受任意工单 ID 并显示相同内容(Matt 发现漏洞)
- Lockdown Mode 无效: 即使开启 Apple 最高安全防护仍被攻击
🛡️ 防御规则
记住以下三条规则:
- 不要批准任何密码重置提示 — 这是攻击第一步。直接前往 Apple ID 设置
- Apple 永远不会先给你打电话 — 如果收到自称 Apple 的电话,直接挂断
- 只相信 apple.com 和 getsupport.apple.com — 检查 URL,任何其他域名都是假的
💡 关键洞察
- 社会工程 > 技术漏洞: 即使安全技术完美,攻击者也能通过客服渠道突破
- MFA 不是万能: "MFA Bombing" 绕过双因素认证
- 客服是双刃剑: Apple Support 的"帮助"流程被攻击者利用
- 实时录音价值: Matt 录音保留了攻击过程,用于教育他人
📹 延伸阅读: Jamie Marsland 根据 Matt 的录音制作了视频,展示了"Alexander"是如何进行钓鱼的。