Nuovo attacco phishing cerca di rubare le credenziali dell’ID Apple
Recenti aumenti negli attacchi di phishing sfruttando una presunta falla nel meccanismo di reset della password di Apple hanno suscitato preoccupazione, come evidenziato in un dettagliato report di KrebsOnSecurity. Si registrano casi di utenti Apple che vengono assediati da incessanti flussi di notifiche o messaggi di autenticazione multi-fattore (MFA) mirati a costringere l’approvazione per un cambio di password dell’ID Apple.
Il modus operandi di questi attacchi prevede di sommergere l’iPhone, l’Apple Watch o il Mac del bersaglio con ripetute richieste di approvazione del cambio password a livello di sistema. L’obiettivo è indurre il bersaglio ad autorizzare accidentalmente la richiesta o cedere alla stanchezza delle notifiche, spingendolo a cliccare sul pulsante accetta. Una volta approvata, l’attaccante ottiene la possibilità di modificare la password dell’ID Apple, bloccando efficacemente l’accesso dell’utente Apple al proprio account.
Poiché le richieste di password sono rivolte all’ID Apple, si manifestano su tutti i dispositivi Apple collegati, rendendoli inutilizzabili fino a quando ogni popup non viene eliminato singolarmente. Parth Patel, un utente di Twitter, ha recentemente raccontato il suo calvario con l’attacco, dichiarando di non essere riuscito ad utilizzare i suoi dispositivi fino a quando non ha manualmente respinto oltre 100 notifiche cliccando su “Non consentire”.
Quando l’approvazione diretta non viene ottenuta dal bersaglio, gli aggressori spesso ricorrono a telefonate fingendo di essere rappresentanti di Apple. Durante queste chiamate, l’attaccante afferma falsamente di essere a conoscenza della situazione della vittima e cerca di estrarre il codice monouso inviato al numero di telefono dell’utente durante un tentativo di cambio password.
Nel caso di Patel, l’attaccante ha sfruttato informazioni divulgate da un sito di ricerca persone, acquisendo nome, indirizzo attuale e precedente, e numero di telefono della vittima. Armato di questi dati, l’attaccante ha tentato di accedere all’account di Patel, sebbene lo abbia identificato erroneamente e abbia destato sospetti richiedendo un codice monouso, pratica esplicitamente smentita da Apple.
Questa campagna nefasta sembra dipendere dal possesso da parte dell’attaccante dell’indirizzo email e del numero di telefono associati all’ID Apple preso di mira.
Dopo un’indagine condotta da KrebsOnSecurity, è emerso che gli aggressori stanno sfruttando la pagina di Apple per le password dimenticate dell’ID Apple. Questa pagina richiede l’inserimento dell’email o del numero di telefono dell’ID Apple dell’utente e presenta un CAPTCHA. Al momento dell’inserimento di un indirizzo email, la pagina rivela le ultime due cifre del numero di telefono associato all’account Apple, spingendo l’attaccante a inserire le cifre mancanti e a innescare un avviso di sistema.
Sebbene il metodo preciso con cui gli aggressori stanno sfruttando il sistema per sommergere gli utenti Apple rimanga poco chiaro, è evidente che viene sfruttata una falla. È improbabile che il sistema della società sia destinato a consentire la presentazione di oltre 100 richieste, indicando un potenziale aggiramento dei limiti.
Si consiglia agli utenti di dispositivi Apple presi di mira da tali truffe di respingere uniformemente tutte le richieste cliccando su “Non consentire” e di rimanere vigili, tenendo presente che Apple non richiede mai codici monouso tramite chiamate telefoniche.