En uno de los ataques más recientes al iPhone, partes maliciosas abusan del sistema de restablecimiento de contraseña de ID de Apple para inundar a los usuarios con solicitudes de iOS para tomar el control de sus cuentas. A continuación le mostramos cómo puede protegerse contra ataques de restablecimiento de contraseña de iPhone (a menudo llamados «bombardeo MFA»).

Recientemente, hemos oído hablar de usuarios de Apple que han sido objeto de bombardeos MFA (también llamados fatiga MFA o bombardeos de empuje). No es un ataque nuevo, pero podría ser una estafa convincente, ya que envía solicitudes oficiales de restablecimiento de contraseña de iOS a las víctimas.

Como lo detalla Krebs sobre la seguridad (a través de la parte de patel), los atacantes que abusan de esta vulnerabilidad parecen hacerlo a través del número de teléfono de un usuario de Apple, que puede bombardear su iPhone y otros dispositivos Apple con más de 100 solicitudes del sistema MFA (autenticación multifactor) para restablecer su contraseña, su ID de Apple.

Cómo protegerse de los ataques de restablecimiento de contraseña del iPhone

1. Declive, declive, declive
   • Dado que las solicitudes de restablecimiento de contraseña son una alerta a nivel del sistema, suena convincente, pero asegúrese de elegir «No permitir» para todos ellos
   • Una forma en que los atacantes desgastan a las víctimas es bombardearlas con cientos de advertencias, a veces durante varios días; siga seleccionando «No permitir» y opcionalmente utilice el paso 3 a continuación
   • Nota: Si ve una solicitud de restablecimiento de contraseña en la web que podría ser una estafa de phishing diferente, cerrar la pagina ya que cualquiera de los botones puede conducir a un enlace malicioso
2. No contestes llamadas telefónicas – incluso si el identificador de llamadas dice “Soporte Apple” o similar
   • Los atacantes están utilizando la suplantación de llamadas, lo que puede hacer que el número que reciben aparezca como el número de teléfono oficial de soporte técnico de Apple y pueden verificar información personal, haciendo que la estafa parezca legítima.
   • Luego intentan obtener una contraseña única para tomar el control de su cuenta de Apple.
   • En caso de duda, rechace la llamada y llame nuevamente a Apple (800.275.2273 en EE. UU.). El falsificador de llamadas no debería poder interceptar su llamada saliente al Apple real.
   • Apple destaca esto No lo hará llamadas salientes “a menos que el cliente solicite ser contactado” y que usted debe nunca compartas códigos únicos con nadie
3. Cambia temporalmente tu número de teléfono asociado con su ID de Apple
   • Si continúa recibiendo solicitudes, cambiar el número de teléfono vinculado a su ID de Apple debería detenerlas.
   • Sin embargo, tenga en cuenta Esto interferirá con iMessage y FaceTime

Más detalles

Como se señala en Krebs sobre la seguridad artículo, parece que hay un problema de límite de velocidad con el sistema de restablecimiento de contraseña de ID de Apple.

¿Qué sistema de autenticación bien diseñado enviaría docenas de solicitudes de cambio de contraseña en unos instantes, cuando el usuario ni siquiera respondió a las primeras solicitudes? ¿Podría ser esto el resultado de un error en los sistemas de Apple?

Esperemos que Apple esté trabajando en una solución para que partes malintencionadas no puedan abusar de este sistema. Pero desafortunadamente, la estafa de restablecimiento de contraseña ha sido destacada por usuarios durante al menos dos años (probablemente más).

Una víctima reciente compartió que un ingeniero senior de Apple le aconsejó activar la función de clave de recuperación para su ID de Apple para detener las notificaciones de restablecimiento de contraseña. Sin embargo, en pruebas adicionales, este no fue el caso y la clave de recuperación de Apple verificada por Krebs en Seguridad no impide las solicitudes de restablecimiento de contraseña.

Relacionado:

Imágenes de 9to5Mac