钓鱼攻击针对人类弱点：苹果设备上的MFA提示轰炸

MFA提示轰炸：一种有效的钓鱼技术

利用人类的弱点进行钓鱼攻击现在采用了一种称为MFA提示轰炸的技术。这种方法涉及向潜在受害者的设备发送多因素身份验证请求，填充屏幕上的提示，通常将“是/否”选项放置在一起。值得注意的是，克里姆林宫支持的黑客组织和业余黑客都成功地利用了这种技术。通过利用用户对突如其来的通知的沮丧或者迅速点击“允许”而不经过仔细考虑的倾向，攻击者获得了所需的访问权限。

MFA提示轰炸的真实案例

一些人分享了他们遭受MFA提示轰炸攻击的经历。一名受害者报告称收到了100多个通知，要求使用他们的苹果设备重置苹果密码。这些提示无法被忽视或忽略，有效地锁住了受害者的设备。在另一个案例中，一名目标在几天内收到了重置通知，并后来接到了自称为苹果支持人员的电话。然而，与苹果直接联系后，确认没有支持问题。这些事件凸显了苹果迫切需要实施速率限制或其他访问控制措施来防止此类攻击的需求。

苹果的密码重置方案需要改进

苹果的密码重置方案被认为是一个需要立即关注的薄弱环节。攻击者仅需获取电话号码、电子邮件并完成简短的验证码，就能轻松发送密码重置通知，这是令人担忧的。一旦提示出现在iPhone上，用户将无法访问其他应用程序，使其成为一种高度破坏性的攻击。Apple Watch用户面临类似问题，只能看到一个“允许”按钮，很难拒绝提示。苹果应考虑实施速率限制或其他安全措施，以保护用户免受MFA提示轰炸攻击。

注意：该文章还提到了苹果在AirDrop中遭受拒绝服务攻击的先前经验，并提供了安全供应商BeyondTrust关于预防MFA疲劳攻击的建议。