▷Почему Apple отправила вам текст 2FA с «@apple.com #123456» в конце.

Если вы действительно недавно вошли в систему со своим Apple ID, а также запросили код подтверждения второго фактора с помощью текстового сообщения, а не с помощью метода доверенного устройства, вы, возможно, заметили, что Apple внесла изменения в текст, который вы получаете.

.

Ранее Apple отправила сообщение, подобное этому:

.

Ваш Apple ID — 123456. Не сообщайте его никому.

.

Примерно с ноября 2021 года коды появляются в следующем формате:

.

Ваш Apple ID: 123456. Не сообщайте его никому. @яблоко. com #123456 %apple.com

.

SMS-код подтверждения изменился с простого SMS-кода подтверждения (вверху) на тот, который обеспечивает дополнительную защиту от фишинга (внизу).

Почему это изменение? В августе 2020 года Apple предложила поддерживать «коды, привязанные к домену» для входа в систему. Этот тип кода требует, чтобы веб-сайты немного улучшили SMS-сообщение, используемое для кодов подтверждения. Входящее сообщение должно предоставить домен местоположения вместе с некоторыми другими данными. Apple заявила, что это изменение, безусловно, улучшит стабильность ее операционных систем, использующих автоматическое заполнение кода с помощью рекомендации на панели QuickType в iOS и iPadOS, а также выпадающего значения в macOS Safari и других приложениях macOS. которые максимально используют эту функцию.

.

Apple предложила эту настройку как метод предотвращения фишинга, который пытается помешать, а также украсть коды подтверждения. Во многих фишинговых атаках субъект данных направляется на поддельный веб-сайт, который просит его ввести свои учетные данные. Сайт принимает эти учетные данные, а также спокойно передает их для подключения к законному веб-сайту.

.

Но некоторые злоумышленники хорошо разбираются в двухфакторной аутентификации. Если сайт отправляет код в виде текстового сообщения по умолчанию, фишинговый пользователь получает текстовое сообщение с кодом. Затем фишер мотивирует этот код.

.

iOS, iPadOS и macOS предлагают завершить код, последний раз отправленный в приложение «Сообщения», в любой эффективно отформатированной области, включая область кода подтверждения фишингового сайта. Это также облегчает задачу мошенникам.

.

Однако, если смс-сообщение оценивается, как рекомендует Apple, операционные системы iOS 15, iPadOS 15, а также macOS 11 Big Sur просто обеспечат автозаполнение на сайтах, соответствующих домену. Безопасность не самая лучшая, но ее легко улучшить, чтобы усилить защитные действия.

.

Формат обычно выглядит так:

.

• Стандартное удобочитаемое сообщение, состоящее из кода, за которым следует новая строка.
• Доменное имя с областью действия @domain.tld.
• Код повторяется еще раз как #123456.
• Если веб-сайт использует встроенный элемент HTML, называемый iframe, ресурс iframe указывается после %, например %ecommerce.example. (В исходной спецификации указано @; Apple, похоже, использует % для своих сообщений).

.

Пользователю делать нечего. SMS-коды по-прежнему должны заполняться автоматически, как и ожидается для законных сайтов.

.

Однако вы можете быть особенно бдительны: когда вы получаете код такого стиля в виде SMS-сообщения, а ваше приложение или браузер не предусматривает его автоматическое заполнение, вы можете стать жертвой фишинга. Внимательно изучите домен или приложение, прежде чем продолжить.

.

Эта короткая статья от Mac 911 является ответом на вопрос, отправленный посетителем Кевином с iphonologie.fr.

.

Спросите Mac 911

.

Мы составили список наиболее часто задаваемых вопросов, а также решения и веб-ссылки на темы: ознакомьтесь с нашими замечательными часто задаваемыми вопросами, чтобы узнать, охвачен ли ваш запрос. Если нет, мы всегда в поиске новых вопросов для решения! Отправьте письмо по адресу mac911@iphonologie.fr, включая записи экрана, если это необходимо, и укажите, хотите ли вы, чтобы ваше полное имя использовалось. Мы не реагируем на все проблемы, мы не отвечаем на электронные письма и не можем дать прямой совет по устранению неполадок.