اپل نسبت به کلاهبرداری FaceTime و جعل هویت تماسها هشدار داد
اپل درباره کلاهبرداری FaceTime هشدار داده است. مهاجمان با جعل هویت اپل و بانکها کاربران آیفون را هدف مهندسی اجتماعی و سرقت اطلاعات مالی قرار میدهند.
شرکت اپل با انتشار یک هشدار امنیتی اعلام کرد کلاهبرداری FaceTime به یکی از جدیدترین روشهای مجرمان سایبری برای سرقت اطلاعات مالی و دسترسی به حسابهای کاربران آیفون و آیپد تبدیل شده است. مهاجمان با جعل هویت اپل، بانکها یا سایر سازمانهای معتبر تلاش میکنند قربانیان را از طریق مهندسی اجتماعی به افشای اطلاعات حساس یا غیرفعال کردن قابلیتهای امنیتی دستگاه ترغیب کنند.
کلاهبرداری FaceTime چگونه انجام میشود؟
بر اساس هشدار منتشرشده توسط Apple Support، مهاجمان با استفاده از تکنیکی موسوم به Caller ID Spoofing شماره تماس خود را جعل میکنند تا تماس ورودی کاملاً معتبر به نظر برسد. در نتیجه، کاربر تصور میکند تماس از سوی اپل یا بانک او برقرار شده است.
برای افزایش اعتماد قربانی، کلاهبرداران در همان ابتدای مکالمه اطلاعات شخصی مانند آدرس، محل کار یا سایر جزئیات قابل دسترس را مطرح میکنند و سپس ادعا میکنند که حساب Apple ID، iCloud یا Apple Pay مورد نفوذ قرار گرفته است.
ایجاد حس فوریت؛ مهمترین ابزار مهاجمان
اپل هشدار داده است که یکی از رایجترین تاکتیکهای این حملات، ایجاد احساس اضطرار است. مهاجمان به کاربران میگویند اگر تماس را قطع کنند یا مستقیماً با اپل تماس بگیرند، حمله همچنان ادامه خواهد داشت یا خسارت بیشتری وارد میشود.
این ادعا کاملاً نادرست است و صرفاً با هدف جلوگیری از بررسی صحت تماس و حفظ کنترل روانی بر قربانی مطرح میشود.
درخواست غیرفعال کردن قابلیتهای امنیتی
در برخی سناریوهای کلاهبرداری FaceTime، مهاجمان از قربانی میخواهند قابلیت احراز هویت دومرحلهای (FA2) یا ویژگی Stolen Device Protection را غیرفعال کند و این اقدام را بخشی از فرآیند محافظت از حساب معرفی میکنند.
اپل تأکید کرده است که غیرفعال کردن این قابلیتها امنیت حساب را کاهش داده و مسیر دسترسی مهاجم به اطلاعات کاربر را هموار میکند.
اپل هرگز این اطلاعات را از شما درخواست نمیکند
این شرکت اعلام کرده است که هیچگاه از کاربران درخواست نمیکند:
- رمز عبور Apple ID را اعلام کنند.
- کد احراز هویت دومرحلهای FA2 را در اختیار دیگران قرار دهند.
- رمز عبور یا رمز قفل دستگاه را افشا کنند.
- گزینه Accept را برای تأیید یک درخواست ناشناس انتخاب کنند.
- برای رفع مشکل وارد وبسایت خاصی شوند یا اطلاعات امنیتی خود را در آن وارد کنند.
سناریوی رایج کلاهبرداری FaceTime
در یکی از روشهای متداول، تماسگیرنده مدعی میشود حساب iCloud قربانی هک شده یا تراکنشهای غیرمجاز از طریق Apple Pay انجام شده است. سپس با وعده جلوگیری از خسارت مالی، کاربر را به انجام اقداماتی هدایت میکند که در نهایت به نفع مهاجم تمام میشود.
اپل چه توصیهای به کاربران دارد؟
اپل از کاربران خواسته است:
- به تماسها یا پیامهای غیرمنتظره اعتماد نکنند.
- اطلاعات شخصی، مالی یا کدهای امنیتی را در اختیار تماسگیرنده قرار ندهند.
- در صورت تردید، تماس را قطع کرده و مستقیماً از طریق کانالهای رسمی با سازمان مربوطه ارتباط برقرار کنند.
- همواره آخرین نسخه iOS را روی دستگاه خود نصب کنند.
این شرکت همچنین اعلام کرده است در صورت دریافت تماس مشکوک FaceTime با هویت جعلی اپل یا بانک، کاربران میتوانند از صفحه تماس اسکرینشات تهیه کرده و آن را به نشانی reportfacetimefraud@apple.com ارسال کنند.
جمعبندی
افزایش موارد کلاهبرداری FaceTime نشان میدهد که مجرمان سایبری بیش از گذشته بر سوءاستفاده از اعتماد کاربران تمرکز کردهاند. اگرچه اپل بهطور مداوم قابلیتهای امنیتی جدیدی به محصولات خود اضافه میکند، اما آگاهی کاربران همچنان مهمترین سد دفاعی در برابر حملات مهندسی اجتماعی محسوب میشود.
در هشدار رسمی منتشرشده توسط Apple Support درباره شناسایی و جلوگیری از حملات مهندسی اجتماعی، این شرکت جزئیات روشهای سوءاستفاده از تماسهای FaceTime، جعل شماره تماس و توصیههای امنیتی برای کاربران را منتشر کرده است.
منابع
- Apple Support – Recognize and avoid social engineering schemes including phishing messages, phony support calls, and other scams" https://support.apple.com/102568
این گزارش بر اساس اطلاعات منتشرشده توسط منبع فوق تهیه و با تحلیل و بازنویسی اختصاصی ۲۴ نیوز منتشر شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
رشد کلاهبرداری FaceTime نشان میدهد که میدان اصلی نبرد امنیت سایبری دیگر صرفاً آسیبپذیریهای نرمافزاری نیست؛ بلکه «هویت دیجیتال» و اعتماد کاربران به مهمترین هدف مهاجمان تبدیل شده است. در بسیاری از حملات امروزی، مهاجم نیازی به نفوذ فنی به سیستم ندارد، زیرا با بهرهگیری از مهندسی اجتماعی میتواند کاربر را وادار کند تا خود، مکانیزمهای دفاعی را غیرفعال کند.
جعل شماره تماس یا Caller ID Spoofing نمونهای از همین تغییر رویکرد است. این تکنیک از ضعف در معماری ارتباطات تلفنی سوءاستفاده میکند و باعث میشود حتی کاربران آگاه نیز در تشخیص تماس واقعی از جعلی دچار تردید شوند. به همین دلیل، اتکا به نمایش شماره تماس یا نام سازمان دیگر معیار مناسبی برای اعتماد نیست.
از منظر معماری امنیت، این رویداد اهمیت راهبرد Identity Security را بیش از گذشته برجسته میکند. قابلیتهایی مانند احراز هویت چندعاملی و Stolen Device Protection زمانی مؤثر هستند که کاربر تحت فشار روانی آنها را غیرفعال نکند. بنابراین، آموزش مستمر کاربران باید بخشی جداییناپذیر از راهبرد Zero Trust باشد؛ راهبردی که بر اصل «هرگز اعتماد نکن، همیشه راستیآزمایی کن» استوار است.
برای سازمانها نیز این هشدار اهمیت ویژهای دارد. مراکز عملیات امنیت (SOC)، مدیران فناوری اطلاعات و تیمهای آگاهیرسانی باید سناریوهای مهندسی اجتماعی مبتنی بر تماس صوتی و تصویری را در برنامههای آموزشی، شبیهسازی حملات و مدلسازی تهدید (Threat Modeling) خود بگنجانند. در غیر این صورت، حتی پیشرفتهترین فناوریهای امنیتی نیز در برابر خطای انسانی آسیبپذیر خواهند بود.
در نهایت، آینده امنیت سایبری بیش از هر زمان دیگری به حفاظت از هویت دیجیتال وابسته است. سازمانهایی که امنیت را تنها در ابزارهای فنی خلاصه میکنند، در برابر موج جدید حملات مبتنی بر اعتماد انسانی با چالشهای جدی مواجه خواهند شد. افزایش تابآوری سایبری در سالهای آینده، بیش از آنکه به خرید فناوریهای جدید وابسته باشد، به ایجاد فرهنگ امنیت، راستیآزمایی مستمر و آموزش کاربران در برابر مهندسی اجتماعی وابسته خواهد بود.