Los ataques de phishing que se aprovechan de lo que parece ser una vulnerabilidad en la función de restablecimiento de contraseña de Apple se han vuelto cada vez más frecuentes, según un informe de KrebsOnSecurity. Varios usuarios de Apple han sido blanco de un ataque que los bombardea con una inundación constante de notificaciones o mensajes de autenticación de múltiples factores (MFA) en un intento por conseguir que aprueben un cambio de contraseña de ID de Apple.
Un atacante puede hacer que el dispositivo objetivo, ya sea un iPhone, un Apple Watch o un Mac, muestre repetidamente solicitudes de cambio de contraseña a nivel del sistema, con la esperanza de que la persona afectada apruebe inadvertidamente la solicitud o se canse de las notificaciones y haga clic en el botón de aceptar. Si se aprueba la solicitud, el atacante puede cambiar la contraseña del ID de Apple y bloquear al usuario de Apple fuera de su cuenta.
Debido a que las solicitudes de contraseña afectan al ID de Apple, aparecen en todos los dispositivos del usuario. Las notificaciones hacen que todos los productos Apple vinculados sean inutilizables hasta que se cierren todas las ventanas emergentes en cada dispositivo. Un usuario de Twitter, Parth Patel, recientemente compartió su experiencia al ser blanco de este ataque, y menciona que no pudo utilizar sus dispositivos hasta que hizo clic en "No permitir" para rechazar más de 100 notificaciones.
Cuando los atacantes no logran que la víctima haga clic en "Permitir" en la notificación de cambio de contraseña, a menudo recurren a llamadas telefónicas que aparentan ser de Apple. En estas llamadas, el atacante finge que la víctima está bajo ataque e intenta obtener el código de un solo uso que se envía al número de teléfono del usuario al intentar restablecer la contraseña.
En el caso de Patel, el atacante estaba utilizando información filtrada de un sitio web de búsqueda de personas, que incluía su nombre, dirección actual, dirección anterior y número de teléfono, brindándole al atacante información detallada para llevar a cabo su intento. El atacante cometió un error con el nombre de Patel, lo que hizo sospechar a Patel cuando le pidieron un código de un solo uso que Apple específicamente advierte que no solicitará en sus comunicaciones.
El ataque parece depender de que el perpetrador tenga acceso al correo electrónico y al número de teléfono asociados con un ID de Apple.
KrebsOnSecurity investigó el problema y descubrió que los atacantes aparentemente están aprovechando la página de Apple para obtener una contraseña olvidada de un ID de Apple. Esta página solicita el correo electrónico o número de teléfono asociado al ID de Apple del usuario y cuenta con un CAPTCHA. Al ingresar el correo electrónico, la página muestra los dos últimos dígitos del número de teléfono asociado con la cuenta de Apple, y al proporcionar los dígitos faltantes y presionar enviar, se envía una alerta del sistema.
No está claro cómo los atacantes están manipulando el sistema para enviar múltiples mensajes a los usuarios de Apple, pero parece ser una falla que está siendo explotada. Es improbable que el sistema de Apple esté diseñado para enviar más de 100 solicitudes, por lo que presumiblemente se está eludiendo el límite de velocidad establecido.
Los propietarios de dispositivos Apple que sean blancos de este tipo de ataque deben asegurarse de hacer clic en "No permitir" en todas las solicitudes y deben tener en cuenta que Apple nunca solicitará códigos de restablecimiento de contraseña de un solo uso por teléfono.