Los ataques de phishing que aprovechan lo que parece ser un error en la función de restablecimiento de contraseña de Apple se han vuelto cada vez más comunes, según un informe de KrebsOnSecurity. Varios usuarios de Apple han sido blanco de un ataque que los bombardea con un flujo interminable de notificaciones o mensajes de autenticación multifactor (MFA) en un intento de lograr que aprueben un cambio de contraseña de ID de Apple.

Un atacante puede hacer que el iPhone, Apple Watch o Mac del objetivo muestre repetidamente textos de aprobación de cambio de contraseña a nivel del sistema con la esperanza de que la persona objetivo apruebe la solicitud por error o se canse de las notificaciones y haga clic en Aceptar. botón. Si se aprueba la solicitud, el atacante puede cambiar la contraseña del ‌ID de Apple‌ y bloquear el acceso del usuario de Apple a su cuenta.

Debido a que las solicitudes de contraseña están dirigidas a ‌ID de Apple‌, aparecen en todos los dispositivos del usuario. Las notificaciones hacen imposible el uso de todos los productos Apple vinculados hasta que las ventanas emergentes desaparezcan una por una en cada dispositivo. El usuario de Twitter Parth Patel recientemente compartió su experiencia siendo el objetivo del ataque, y dice que no pudo usar sus dispositivos hasta que hizo clic en «No permitir» para recibir más de 100 notificaciones.

Cuando los atacantes no pueden lograr que una persona haga clic en «Permitir» en la notificación de cambio de contraseña, los objetivos suelen recibir llamadas que parecen provenir de Apple. En estas llamadas, el atacante afirma saber que la víctima está bajo ataque e intenta obtener la contraseña de un solo uso que se envía al número de teléfono del usuario cuando intenta cambiar la contraseña.

En el caso de Patel, el atacante estaba utilizando información filtrada de un sitio web de búsqueda de personas que incluía nombre, dirección actual, dirección anterior y número de teléfono, dando a la persona que intentaba acceder a su cuenta amplia información con la que trabajar. Resulta que el atacante se equivocó de nombre y además sospechó porque le pidieron un código único que Apple envía explícitamente con un mensaje confirmando que Apple no solicita dichos códigos.

El ataque parece depender de que el perpetrador tenga acceso a la dirección de correo electrónico y al número de teléfono asociados con una ‌ID de Apple‌.

KrebsOnSecurity investigó el problema y descubrió que los atacantes parecen estar usando la página de Apple para obtener una contraseña de ‌ID de Apple‌ olvidada. Esta página requiere el correo electrónico o el número de teléfono del ‌ID de Apple‌ del usuario y tiene un CAPTCHA. Cuando se ingresa una dirección de correo electrónico, la página muestra los dos últimos dígitos del número de teléfono asociado con la cuenta de Apple, y al completar los dígitos que faltan y hacer clic en enviar se envía una alerta del sistema.

No está claro cómo los atacantes están abusando del sistema para enviar varios mensajes a los usuarios de Apple, pero parece ser un error que está siendo explotado. Es poco probable que el sistema de Apple pueda usarse para enviar más de 100 solicitudes, por lo que presumiblemente se está eludiendo el límite de velocidad.

Los propietarios de dispositivos Apple que sean objeto de este tipo de ataque deben presionar «No permitir» en todas las solicitudes y deben tener en cuenta que Apple no realiza llamadas solicitando códigos de restablecimiento de contraseña de un solo uso.