一种新的网络钓鱼攻击已将目标锁定在Apple用户身上，他们不断收到通知，并试图诱骗他们允许黑客访问其帐户。如果攻击者得逞，您可能会被锁定在您拥有的每一台Apple设备上。

根据KrebsonSecurity博客(通过MacRumors)的记录，该漏洞涉及“MFA轰炸”，即向用户发送连续不断的多因素身份验证(MFA)请求。这些请求通常显示文本“使用此iPhone重置您的AppleID密码”，并带有“不允许”和“允许”选项。

如果您选择“允许”，黑客将能够更改您的AppleID密码并锁定您的帐户。由于此方法会影响您的AppleID(而不是您的锁屏密码)，因此它可用于控制使用同一ID的所有Apple设备。

这使得它成为一种特别强大的攻击。但如果你遇到它，你不太可能只看到一个弹出窗口——坏人似乎利用了一个漏洞，它会一遍又一遍地显示请求，每次你选择“不允许”时都会出现一个新的请求。

但这还不止于此。如果你完成了所有这些操作，而网络钓鱼者仍然无法接管你的账户，他们显然会假装是苹果公司给你打电话。

Patel详细说明了冒名顶替者如何伪造官方Apple号码并要求他提供刚刚发给他的一次性密码(OTP)。交出这个密码将是一个错误，因为这将为他们提供另一种进入Patel帐户的方法，并且OTP随附的文本明确指出不应与任何人共享。

幸运的是，帕特尔没有交出它。他要求打电话的人“核实大量关于他自己的信息”，其中大部分信息都正确无误——但他们却弄错了他的名字。原来，他们使用的是PeopleDataLabs泄露的个人信息数据库，该数据库错误地记录了他的数据。

KrebsonSecurity确定攻击者很可能利用了Apple网站上的一个页面，该页面专门为忘记AppleID密码的用户提供。该页面允许您输入AppleID或电话号码，通过CAPTCHA检查并向帐户发送重置请求。目前尚不清楚网络钓鱼者如何让系统发送多个请求，但这可能是他们利用的一个漏洞。

这次专业而复杂的攻击表明，一些黑客为了接管目标Apple帐户会不遗余力，这显然不是业余人员所为。如果您收到大量密码重置请求，请确保始终选择“不允许”(无论出现多少弹出窗口)，并始终拒绝交出OTP详细信息，即使请求似乎是官方的。

Apple绝不会要求您提供这些详细信息(其他任何信誉良好的公司也不会)。这是您的设备帐户，您需要不惜一切代价保护它。