Apple изменила SMS с кодами двухфакторной аутентификации для большей безопасности

Apple изменила SMS с кодами двухфакторной аутентификации для большей безопасности

Теперь в SMS-сообщениях наряду с кодом должен указываться домен назначения.

Пользователи, недавно авторизовавшиеся через Apple ID и запросившие SMS-код на втором этапе двухфакторной аутентификации, наверняка обратили внимание на то, что теперь сообщения с кодом выглядят несколько иначе.

Так, если раньше текст сообщения был таким: «Ваш Apple ID код 123456. Не передавайте его никому», то с ноября 2021 года он стал гласить: «Ваш Apple ID код 123456. Не передавайте его никому. @apple.com #123456 %apple.com».

Что это значит? В августе 2020 года компания Apple сообщила о намерении ввести для авторизации так называемые «коды, связанные с доменами». Такие коды требуют от сайтов внесения небольшого дополнения в текст сообщений с проверочными кодами. В частности, в них должен указываться домен назначения и некоторые другие данные. Как пояснила Apple, это изменение улучшит целостность ее операционных систем, предлагая автозаполнение кода с помощью предложения на панели QuickType в iOS и iPadOS и раскрывающегося значения в macOS Safari и других приложениях macOS, которые используют эту функцию.

Компания считает, что нововведение поможет обезопасить пользователей от перехвата проверочных кодов. В большинстве фишинговых атак мошенники направляют жертву на поддельный сайт, запрашивающий учетные данные. Сайт берет эти учетные данные и втайне от пользователя направляет их на легитимный ресурс.

Однако некоторые мошенники научились использовать для своих целей двухфакторную аутентификацию. Если по умолчанию сайт отправляет код в SMS-сообщении, жертва получает текстовое сообщение с кодом, а мошенники затем хитростью выманивают у нее этот код.

iOS, iPadOS и macOS автоматически вставляют полученный в последнем сообщении код в любое соответствующим образом отформатированное поле, в том числе на вредоносном сайте, чем и пользуются мошенники.

Однако, если сообщение ограничено, как это предложила сделать Apple, начиная от iOS 15, iPadOS 15 и macOS 11 Big Sur, операционная система будет предлагать автозаполнение только на сайтах, соответствующих доменным именам.

В сообщениях указываются:

  • Стандартный, удобный для прочтения человеком текст с кодом и дополнительной строкой;

  • Ограниченный домен вида @domain.tld;

  • Код повторяется еще раз в виде #123456

Если сайт использует встроенный HTML-элемент под названием iframe, источник этого iframe будет указываться после %, например, %ecommerce.example. От пользователя не требуется никаких действий, поскольку на легитимных сайтах функция автозаполнения проверочного кода из SMS будет работать как обычно.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!