Recentemente, si è osservato un aumento degli attacchi di phishing che sfruttano presunte vulnerabilità nel processo di reimpostazione delle password di Apple. Questo trend preoccupante è stato evidenziato in un dettagliato report di KrebsOnSecurity. Gli utenti Apple si trovano bombardati da una serie di notifiche o messaggi di autenticazione multi-fattore (MFA) mirati a ottenere l’approvazione per il cambio di password dell’ID Apple.
La tattica di questi attacchi prevede di sovraccaricare gli iPhone, gli Apple Watch o i Mac della vittima con richieste ripetute di approvazione per il cambio password a livello di sistema. L’obiettivo è quello di indurre l’utente a autorizzare accidentalmente la richiesta o a cedere alla stanchezza delle notifiche, spingendolo ad accettare. Una volta ottenuta l’approvazione, l’attaccante ha la possibilità di modificare la password dell’ID Apple, bloccando efficacemente l’accesso dell’utente al proprio account.
Poiché le richieste di password si manifestano sull’ID Apple, compaiono su tutti i dispositivi Apple collegati, rendendoli praticamente inutilizzabili finché ogni finestra di popup non viene chiusa individualmente. Un utente di Twitter, Parth Patel, ha recentemente condiviso la sua esperienza con questo attacco, affermando di non essere stato in grado di utilizzare i suoi dispositivi fino a quando non ha respinto manualmente oltre 100 notifiche cliccando su “Non consentire”.
Quando non riescono a ottenere l’approvazione diretta, gli aggressori spesso tentano di contattare telefonicamente la vittima fingendo di essere rappresentanti di Apple. Durante queste chiamate, l’attaccante afferma di essere a conoscenza della situazione della vittima e cerca di ottenere il codice monouso inviato al numero di telefono dell’utente durante il tentativo di cambio password.
Nel caso di Patel, l’attaccante ha sfruttato informazioni ottenute da un sito di ricerca persone, tra cui nome, indirizzo attuale e precedente, e numero di telefono della vittima. Utilizzando tali dati, l’attaccante ha tentato di accedere all’account di Patel, sebbene sia stato identificato erroneamente e abbia sollevato sospetti richiedendo un codice monouso, pratica esplicitamente negata da Apple.
Questo attacco sembra basarsi sul possesso da parte dell’attaccante dell’indirizzo email e del numero di telefono associati all’ID Apple preso di mira. Secondo un’indagine condotta da KrebsOnSecurity, gli aggressori stanno sfruttando la pagina di Apple per le password dimenticate dell’ID Apple. Tale pagina richiede l’inserimento dell’email o del numero di telefono associati all’ID Apple dell’utente e presenta un CAPTCHA. Quando viene inserito un indirizzo email, la pagina mostra le ultime due cifre del numero di telefono associato all’account Apple, incoraggiando l’attaccante a inserire le cifre mancanti e a innescare un avviso di sistema.
Anche se non è chiaro il metodo esatto con cui gli aggressori stanno sfruttando il sistema per sovraccaricare gli utenti Apple, è evidente che viene sfruttata una falla. È improbabile che il sistema della società sia progettato per gestire oltre 100 richieste, indicando un potenziale aggiramento dei limiti.
Si consiglia agli utenti dei dispositivi Apple presi di mira da tali truffe di rifiutare tutte le richieste in modo uniforme cliccando su “Non consentire” e di rimanere vigili, tenendo presente che Apple non richiede mai codici monouso tramite chiamate telefoniche.
Doctor Apple Italia 