根據KrebsOnSecurity的一份報告，利用蘋果公司密碼重置功能中的一個似乎是漏洞的釣魚攻擊變得越來越普遍。多位蘋果用戶成為了攻擊目標，這些攻擊會向他們發送無休止的通知或多因素驗證（MFA）訊息，試圖讓他們批准更改Apple ID密碼。

攻擊者可以讓目標用戶的iPhone、Apple Watch 或Mac 一遍又一遍地顯示系統級密碼更改批准文本，希望目標用戶錯誤地批准請求，或者厭倦這些通知並點擊接受按鈕。如果要求被批准，攻擊者就能更改Apple ID 密碼並鎖定蘋果用戶的帳號。

由於密碼請求以Apple ID 為目標，因此會在使用者的所有裝置上彈出。這些通知會導致所有連結的蘋果產品無法使用，直到每個裝置上的彈出視窗逐一刪除。Twitter 用戶帕特爾（Parth Patel）最近分享了他被攻擊的經歷，他說在點擊100 多個通知的”不允許”之前，他無法使用自己的設備。

當攻擊者無法讓使用者點擊密碼變更通知上的”允許”時，目標通常會接到看似來自蘋果公司的電話。在這些電話中，攻擊者聲稱知道受害者正在遭受攻擊，並試圖獲取一次性密碼，該密碼會在試圖更改密碼時發送到用戶的電話號碼上。

在帕特爾的案例中，攻擊者使用的是一個人肉搜索網站洩露的信息，其中包括姓名、當前地址、過去地址和電話號碼，這讓試圖訪問他賬戶的人有了充足的信息依據。攻擊者碰巧弄錯了自己的姓名，而且他還因為被要求提供蘋果公司明確發送的一次性代碼而產生了懷疑，因為蘋果公司在發送信息時確認不會要求提供這些代碼。

這種攻擊似乎取決於犯罪者能否存取與Apple ID 相關聯的電子郵件地址和電話號碼。

KrebsOnSecurity對這個問題進行了調查，發現攻擊者似乎在使用蘋果的Apple ID 忘記密碼頁面。該頁面需要用戶的Apple ID 電子郵件或電話號碼，並有驗證碼。當輸入電子郵件地址時，頁面會顯示與蘋果帳戶相關的電話號碼的最後兩位數字，輸入缺少的數字並點擊提交，系統就會發出警報。

目前還不清楚攻擊者是如何濫用系統向蘋果用戶發送多個訊息的，但這似乎是一個被利用的漏洞。蘋果公司的系統不太可能被用來發送超過100 個請求，因此很可能是設法繞過了限制。

受到此類攻擊的蘋果設備用戶應確保點擊”不允許”所有請求，並應注意蘋果公司不會撥打電話來請求一次性密碼重置。