کد خبر: ۴۷۵

اپل نسبت به کلاهبرداری FaceTime و جعل هویت تماس‌ها هشدار داد

گزارش بهراد یوسفی درباره کلاهبرداری FaceTime

اپل درباره کلاهبرداری FaceTime هشدار داده است. مهاجمان با جعل هویت اپل و بانک‌ها کاربران آیفون را هدف مهندسی اجتماعی و سرقت اطلاعات مالی قرار می‌دهند.

شرکت اپل با انتشار یک هشدار امنیتی اعلام کرد کلاهبرداری FaceTime  به یکی از جدیدترین روش‌های مجرمان سایبری برای سرقت اطلاعات مالی و دسترسی به حساب‌های کاربران آیفون و آیپد تبدیل شده است. مهاجمان با جعل هویت اپل، بانک‌ها یا سایر سازمان‌های معتبر تلاش می‌کنند قربانیان را از طریق مهندسی اجتماعی به افشای اطلاعات حساس یا غیرفعال کردن قابلیت‌های امنیتی دستگاه ترغیب کنند.

کلاهبرداری FaceTime چگونه انجام می‌شود؟

بر اساس هشدار منتشرشده توسط Apple Support، مهاجمان با استفاده از تکنیکی موسوم به Caller ID Spoofing  شماره تماس خود را جعل می‌کنند تا تماس ورودی کاملاً معتبر به نظر برسد. در نتیجه، کاربر تصور می‌کند تماس از سوی اپل یا بانک او برقرار شده است.

برای افزایش اعتماد قربانی، کلاهبرداران در همان ابتدای مکالمه اطلاعات شخصی مانند آدرس، محل کار یا سایر جزئیات قابل دسترس را مطرح می‌کنند و سپس ادعا می‌کنند که حساب  Apple ID، iCloud  یا Apple Pay مورد نفوذ قرار گرفته است.

ایجاد حس فوریت؛ مهم‌ترین ابزار مهاجمان

اپل هشدار داده است که یکی از رایج‌ترین تاکتیک‌های این حملات، ایجاد احساس اضطرار است. مهاجمان به کاربران می‌گویند اگر تماس را قطع کنند یا مستقیماً با اپل تماس بگیرند، حمله همچنان ادامه خواهد داشت یا خسارت بیشتری وارد می‌شود.

این ادعا کاملاً نادرست است و صرفاً با هدف جلوگیری از بررسی صحت تماس و حفظ کنترل روانی بر قربانی مطرح می‌شود.

درخواست غیرفعال کردن قابلیت‌های امنیتی

در برخی سناریوهای کلاهبرداری  FaceTime، مهاجمان از قربانی می‌خواهند قابلیت احراز هویت دومرحله‌ای (FA2) یا ویژگی  Stolen Device Protection  را غیرفعال کند و این اقدام را بخشی از فرآیند محافظت از حساب معرفی می‌کنند.

اپل تأکید کرده است که غیرفعال کردن این قابلیت‌ها امنیت حساب را کاهش داده و مسیر دسترسی مهاجم به اطلاعات کاربر را هموار می‌کند.

اپل هرگز این اطلاعات را از شما درخواست نمی‌کند

این شرکت اعلام کرده است که هیچ‌گاه از کاربران درخواست نمی‌کند:

  • رمز عبور Apple ID را اعلام کنند.
  • کد احراز هویت دومرحله‌ای FA2 را در اختیار دیگران قرار دهند.
  • رمز عبور یا رمز قفل دستگاه را افشا کنند.
  • گزینه Accept  را برای تأیید یک درخواست ناشناس انتخاب کنند.
  • برای رفع مشکل وارد وب‌سایت خاصی شوند یا اطلاعات امنیتی خود را در آن وارد کنند.

سناریوی رایج کلاهبرداری  FaceTime

در یکی از روش‌های متداول، تماس‌گیرنده مدعی می‌شود حساب iCloud قربانی هک شده یا تراکنش‌های غیرمجاز از طریق Apple Pay  انجام شده است. سپس با وعده جلوگیری از خسارت مالی، کاربر را به انجام اقداماتی هدایت می‌کند که در نهایت به نفع مهاجم تمام می‌شود.

اپل چه توصیه‌ای به کاربران دارد؟

اپل از کاربران خواسته است:

  • به تماس‌ها یا پیام‌های غیرمنتظره اعتماد نکنند.
  • اطلاعات شخصی، مالی یا کدهای امنیتی را در اختیار تماس‌گیرنده قرار ندهند.
  • در صورت تردید، تماس را قطع کرده و مستقیماً از طریق کانال‌های رسمی با سازمان مربوطه ارتباط برقرار کنند.
  • همواره آخرین نسخه iOS را روی دستگاه خود نصب کنند.

این شرکت همچنین اعلام کرده است در صورت دریافت تماس مشکوک FaceTime با هویت جعلی اپل یا بانک، کاربران می‌توانند از صفحه تماس اسکرین‌شات تهیه کرده و آن را به نشانی reportfacetimefraud@apple.com  ارسال کنند.

جمع‌بندی

افزایش موارد کلاهبرداری FaceTime نشان می‌دهد که مجرمان سایبری بیش از گذشته بر سوءاستفاده از اعتماد کاربران تمرکز کرده‌اند. اگرچه اپل به‌طور مداوم قابلیت‌های امنیتی جدیدی به محصولات خود اضافه می‌کند، اما آگاهی کاربران همچنان مهم‌ترین سد دفاعی در برابر حملات مهندسی اجتماعی محسوب می‌شود.

 

در هشدار رسمی منتشرشده توسط Apple Support  درباره شناسایی و جلوگیری از حملات مهندسی اجتماعی، این شرکت جزئیات روش‌های سوءاستفاده از تماس‌های  FaceTime، جعل شماره تماس و توصیه‌های امنیتی برای کاربران را منتشر کرده است.

 

منابع

  • Apple Support – Recognize and avoid social engineering schemes including phishing messages, phony support calls, and other scams" https://support.apple.com/102568

این گزارش بر اساس اطلاعات منتشرشده توسط منبع فوق تهیه و با تحلیل و بازنویسی اختصاصی ۲۴ نیوز منتشر شده است.


اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی

رشد کلاهبرداری FaceTime نشان می‌دهد که میدان اصلی نبرد امنیت سایبری دیگر صرفاً آسیب‌پذیری‌های نرم‌افزاری نیست؛ بلکه «هویت دیجیتال» و اعتماد کاربران به مهم‌ترین هدف مهاجمان تبدیل شده است. در بسیاری از حملات امروزی، مهاجم نیازی به نفوذ فنی به سیستم ندارد، زیرا با بهره‌گیری از مهندسی اجتماعی می‌تواند کاربر را وادار کند تا خود، مکانیزم‌های دفاعی را غیرفعال کند.

جعل شماره تماس یا Caller ID Spoofing  نمونه‌ای از همین تغییر رویکرد است. این تکنیک از ضعف در معماری ارتباطات تلفنی سوءاستفاده می‌کند و باعث می‌شود حتی کاربران آگاه نیز در تشخیص تماس واقعی از جعلی دچار تردید شوند. به همین دلیل، اتکا به نمایش شماره تماس یا نام سازمان دیگر معیار مناسبی برای اعتماد نیست.

از منظر معماری امنیت، این رویداد اهمیت راهبرد Identity Security  را بیش از گذشته برجسته می‌کند. قابلیت‌هایی مانند احراز هویت چندعاملی و Stolen Device Protection زمانی مؤثر هستند که کاربر تحت فشار روانی آن‌ها را غیرفعال نکند. بنابراین، آموزش مستمر کاربران باید بخشی جدایی‌ناپذیر از راهبرد Zero Trust  باشد؛ راهبردی که بر اصل «هرگز اعتماد نکن، همیشه راستی‌آزمایی کن» استوار است.

برای سازمان‌ها نیز این هشدار اهمیت ویژه‌ای دارد. مراکز عملیات امنیت  (SOC)، مدیران فناوری اطلاعات و تیم‌های آگاهی‌رسانی باید سناریوهای مهندسی اجتماعی مبتنی بر تماس صوتی و تصویری را در برنامه‌های آموزشی، شبیه‌سازی حملات و مدل‌سازی تهدید (Threat Modeling) خود بگنجانند. در غیر این صورت، حتی پیشرفته‌ترین فناوری‌های امنیتی نیز در برابر خطای انسانی آسیب‌پذیر خواهند بود.

در نهایت، آینده امنیت سایبری بیش از هر زمان دیگری به حفاظت از هویت دیجیتال وابسته است. سازمان‌هایی که امنیت را تنها در ابزارهای فنی خلاصه می‌کنند، در برابر موج جدید حملات مبتنی بر اعتماد انسانی با چالش‌های جدی مواجه خواهند شد. افزایش تاب‌آوری سایبری در سال‌های آینده، بیش از آنکه به خرید فناوری‌های جدید وابسته باشد، به ایجاد فرهنگ امنیت، راستی‌آزمایی مستمر و آموزش کاربران در برابر مهندسی اجتماعی وابسته خواهد بود.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث