Secondo un rapporto di KrebsOnSecurity, gli attacchi di phishing che sfruttano quello che sembra essere un bug nella funzione di reimpostazione della password di Apple sono diventati sempre più comuni.
Diversi utenti Apple sono stati presi di mira da un attacco che li bombarda con un flusso infinito di notifiche o messaggi di autenticazione a più fattori (MFA) nel tentativo di convincerli ad approvare la modifica della password dell’ID Apple.
Un aggressore è in grado di fare in modo che l’iPhone, l’Apple Watch o il Mac del bersaglio visualizzi ripetutamente testi di approvazione della modifica della password a livello di sistema, nella speranza che la persona presa di mira approvi erroneamente la richiesta o si stanchi delle notifiche e faccia clic su sul pulsante accetta. Se la richiesta viene approvata, l’aggressore è in grado di modificare la password dell’ID Apple e bloccare l’accesso dell’utente Apple al proprio account.
Poiché le richieste di password hanno come target l’ID Apple, vengono visualizzate su tutti i dispositivi di un utente. Le notifiche impediscono l’utilizzo di tutti i prodotti Apple collegati finché i popup non vengono chiusi uno per uno su ciascun dispositivo.
Quando gli aggressori non riescono a convincere la persona a fare clic su “Consenti” nella notifica di modifica della password, gli obiettivi spesso ricevono telefonate che sembrano provenire da Apple. In queste chiamate, l’aggressore afferma di sapere che la vittima è sotto attacco e tenta di ottenere la password monouso che viene inviata al numero di telefono di un utente quando tenta di modificare la password.
Prima della chiamata, gli aggressori si informano sulla vittima, cercando di scoprire varie info come numero di telefono, email e lavoro su altri siti legali in cui l’utente si è registrato (ad esempio su siti di ricerca personale).
KrebsOnSecurity ha esaminato il problema e ha scoperto che gli aggressori sembrano utilizzare la pagina di Apple relativa alle password Apple ID dimenticate. Questa pagina richiede l’e-mail o il numero di telefono dell’ID Apple di un utente e ha un CAPTCHA. Quando viene inserito un indirizzo e-mail, la pagina visualizza le ultime due cifre del numero di telefono associato all’account Apple e, inserendo le cifre mancanti e premendo Invia, viene inviato un avviso di sistema.
Non è chiaro come gli aggressori stiano abusando del sistema per inviare più messaggi agli utenti Apple, ma sembra che si tratti di un bug che viene sfruttato attivamente. È improbabile che il sistema Apple possa essere utilizzato per inviare più di 100 richieste, quindi presumibilmente il limite viene in qualche modo aggirato.
I proprietari di dispositivi Apple presi di mira da questo tipo di attacco dovrebbero assicurarsi di toccare “Non consentire” su tutte le richieste e dovrebbero essere consapevoli che Apple non effettua telefonate per richiedere codici di reimpostazione password monouso.
Al momento, l’attacco sembra limitato agli Stati Uniti, ma vengono segnalati casi anche in Italia.