Pourquoi Apple Vous a envoyé un SMS 2FA qui se termine par « @apple.com #123456 »
Si vous avez récemment utilisé votre Apple Identifiez et demandez un code de vérification de 2e facteur basé sur SMS au lieu d’utiliser la méthode de l’appareil de confiance, vous avez peut-être remarqué Apple Des modifications ont été apportées au texte que vous avez reçu.
Avant de, Apple Envoyé un message comme celui-ci :
Ton Apple Le numéro d’identification est 123456Ne partagez avec personne.
À partir de novembre 2021 environ, les balises s’affichent au format suivant :
Ton Apple Le numéro d’identification est : 123456Ne partagez avec personne. @apple.com #123456 %apple.com
Apple Migration d’un simple captcha SMS (en haut) vers un captcha offrant une protection supplémentaire contre le phishing (en bas).
Pourquoi changer? Apple Proposé en août 2020, il prendra en charge les « codes de liaison de domaine » pour la connexion. De tels codes obligent le site à compléter légèrement le message texte utilisé pour le code de vérification. Les messages entrants doivent fournir le domaine cible et quelques autres données. Apple Indique que ce changement améliorera l’intégrité de son système d’exploitation en remplissant automatiquement le code avec des suggestions dans la barre QuickType pour iOS et iPadOS, ainsi que des valeurs déroulantes dans macOS Safari et d’autres applications macOS qui tirent parti de cette fonctionnalité .
Apple Ce changement est proposé comme un moyen de bloquer les tentatives de phishing pour intercepter et rediriger le captcha. Dans la plupart des attaques de phishing, les victimes sont dirigées vers un faux site qui leur demande de saisir leurs informations d’identification. Le site prend ces informations d’identification et les transmet silencieusement pour se connecter à des sites légitimes.
Mais certains attaquants sont sensibles à l’authentification à deux facteurs. Si le site envoie le code par SMS comme méthode par défaut, l’utilisateur hameçonné reçoit un SMS avec le code. Le phisher sera alors invité à entrer ce code.
iOS, iPadOS et macOS peuvent remplir n’importe quel champ bien formé (y compris les champs captcha pour les sites de phishing) avec le code récemment arrivé dans l’application Messages via SMS. Cela rend la tâche trop facile pour les escrocs.
Toutefois, si la portée du SMS est Apple Il est recommandé que les systèmes d’exploitation commençant par iOS 15, iPadOS 15 et macOS 11 Big Sur n’offrent le remplissage automatique que sur les sites Web qui correspondent au nom de domaine. La sécurité n’est pas parfaite, mais c’est une simple mise à jour pour renforcer les opérations défensives.
Le format ressemble généralement à ceci :
- Message standard lisible par l’homme, y compris le code, suivi d’une nouvelle ligne.
- Le domaine d’étendue est @domain.tld.
- Le code est répété à nouveau sous la forme #123456.
- Si le site utilise un élément HTML intégré (appelé iframe), la source de l’iframe est répertoriée après %, par exemple %ecommerce.example. (La spécification d’origine spécifiait @ ; Apple semble utiliser % dans son texte. )
En tant qu’utilisateur, vous n’avez rien à faire. Les codes SMS continuent de se remplir automatiquement comme prévu pour les sites valides.
Cependant, vous pouvez être vigilant : lorsque vous recevez un message texte dans ce format sous forme de code et que votre application ou votre navigateur ne propose pas de le remplir automatiquement, vous pouvez être vulnérable à un piège de phishing. Examinez soigneusement le domaine ou l’application avant de continuer.
Cet article Mac 911 est en réponse à une question soumise par le lecteur Macworld Kevin.
Demandez Mac 911
Nous avons compilé une liste des questions les plus fréquemment posées, ainsi que des liens vers des réponses et des colonnes : lisez notre super FAQ pour voir si votre question est couverte. Sinon, nous sommes toujours à la recherche de nouveaux problèmes à résoudre ! Envoyez votre e-mail à mac911@macworld.com, y compris les captures d’écran appropriées et si vous souhaitez utiliser votre nom complet. Toutes les questions ne recevront pas de réponse et nous ne répondrons pas aux e-mails ni ne fournirons de conseils de dépannage directs.