Теперь в SMS-сообщениях наряду с кодом должен указываться домен назначения.
Пользователи, недавно авторизовавшиеся через Apple ID и запросившие SMS-код на втором этапе двухфакторной аутентификации, наверняка обратили внимание на то, что теперь сообщения с кодом выглядят несколько иначе.
Так, если раньше текст сообщения был таким: «Ваш Apple ID код 123456. Не передавайте его никому», то с ноября 2021 года он стал гласить: «Ваш Apple ID код 123456. Не передавайте его никому. @apple.com #123456 %apple.com».
Что это значит? В августе 2020 года компания Apple сообщила о намерении ввести для авторизации так называемые «коды, связанные с доменами». Такие коды требуют от сайтов внесения небольшого дополнения в текст сообщений с проверочными кодами. В частности, в них должен указываться домен назначения и некоторые другие данные. Как пояснила Apple, это изменение улучшит целостность ее операционных систем, предлагая автозаполнение кода с помощью предложения на панели QuickType в iOS и iPadOS и раскрывающегося значения в macOS Safari и других приложениях macOS, которые используют эту функцию.
Компания считает, что нововведение поможет обезопасить пользователей от перехвата проверочных кодов. В большинстве фишинговых атак мошенники направляют жертву на поддельный сайт, запрашивающий учетные данные. Сайт берет эти учетные данные и втайне от пользователя направляет их на легитимный ресурс.
Однако некоторые мошенники научились использовать для своих целей двухфакторную аутентификацию. Если по умолчанию сайт отправляет код в SMS-сообщении, жертва получает текстовое сообщение с кодом, а мошенники затем хитростью выманивают у нее этот код.
iOS, iPadOS и macOS автоматически вставляют полученный в последнем сообщении код в любое соответствующим образом отформатированное поле, в том числе на вредоносном сайте, чем и пользуются мошенники.
Однако, если сообщение ограничено, как это предложила сделать Apple, начиная от iOS 15, iPadOS 15 и macOS 11 Big Sur, операционная система будет предлагать автозаполнение только на сайтах, соответствующих доменным именам.
В сообщениях указываются:
Стандартный, удобный для прочтения человеком текст с кодом и дополнительной строкой;
Ограниченный домен вида @domain.tld;
Код повторяется еще раз в виде #123456
Если сайт использует встроенный HTML-элемент под названием iframe, источник этого iframe будет указываться после %, например, %ecommerce.example. От пользователя не требуется никаких действий, поскольку на легитимных сайтах функция автозаполнения проверочного кода из SMS будет работать как обычно.
Ладно, не доказали. Но мы работаем над этим