Apple 사용자를 위협하는 새로운 피싱 공격인 Apple 비밀번호 재설정 사기가 최근 등장했습니다. 이번 공격은 애플의 비밀번호 재설정 기능을 악용해 사용자를 함정으로 유인하는 ‘다단계 인증(MFA) 폭격’ 방식을 사용한다.
우리가 알고 있는 것은 다음과 같습니다…
Apple 데이터 유출: Apple 비밀번호 재설정 사기에 대해 우리가 알고 있는 모든 것
공격의 작동 방식은 다음과 같습니다. 공격자는 대상 사용자에게 수십 또는 수백 개의 알림을 보내 Apple의 비밀번호 재설정 기능을 이용하고 있음을 나타냅니다. 이러한 알림은 사용자에게 Apple ID 비밀번호를 재설정하도록 요청합니다. 사용자가 “허용”을 클릭하면 사기꾼은 자격 증명을 손상시키고 Apple ID에 접근할 수 있습니다.
더욱 걱정스러운 점은 “허용 안 함”을 선택한 사용자는 안전하지 않다는 것입니다. 그런 다음 공격자는 사용자에게 전화를 걸기 시작하며 이번에는 Apple 지원 담당자라고 주장합니다. 이들은 사용자의 기기에 비밀번호 재설정 코드를 보내고 이를 제공받도록 하는 것을 목표로 합니다. 일단 비밀번호를 얻으면 사기꾼은 Apple ID 비밀번호를 재설정하고 사용자 계정에 대한 전체 접근 권한을 얻을 수 있습니다.
그렇다면 이 공격으로부터 자신을 보호하려면 어떻게 해야 할까요?
- 수신 알림에서 어떤 옵션도 클릭하지 마세요
- Apple에서 걸려온 전화처럼 보이더라도 알 수 없는 번호의 전화에 응답하지 마세요. Apple에서 전화를 걸면 연락처에 전화번호를 저장하지 않았더라도 일반적으로 전화번호 아래에 ‘Apple’이 표시됩니다.
- 전 Apple 직원으로서 저는 귀하가 고객 서비스에 지속적인 파일을 가지고 있지 않는 한 Apple은 결코 귀하에게 전화하지 않을 것이라는 점을 지적해야 합니다.
- Apple ID 암호를 변경하려면 28자 복구 키를 만드세요.
- 강력하고 예측할 수 없는 비밀번호를 사용하세요
- 항상 이중 인증을 활성화하세요.
- Apple에서 보낸 이메일과 알림을 주의 깊게 확인하세요.
- 의심스러워 보이는 링크는 클릭하지 마세요
- App Store 이외의 타사 소스에서 앱을 다운로드하지 마세요.
이 새로운 피싱 공격은 사이버 보안이 얼마나 중요한지 다시 한 번 보여줍니다. 사용자는 피싱 공격을 인식하고 자신을 보호하는 방법을 알아야 합니다. Apple은 이 문제를 즉시 해결하고 사용자 보호를 개선해야 합니다.
주요 이미지 출처: redgreystock / Unsplash