Utenti Apple presi di mira da una campagna di ingegneria sociale: dispositivi inondati da richieste di cambio password
Gli utenti dei servizi Apple sono diventati il nuovo bersaglio di una sofisticata campagna di ingegneria sociale di tipo “MFA Bombing” che fa leva sul senso di urgenza che l’utente prova quando si vede recapitare una richiesta di autorizzazione alla reimpostazione password sui propri dispositivi, sfruttando un presunto bug presente nel meccanismo di reset della password di Apple.
I dettagli di questo attacco vengono spiegati sul blog Krebs on Security, dove si evidenzia come la richiesta di reset della password sia autentica e avviene perché un aggressore sta cercando di reimpostare la password di un ID Apple preso di mira. Il tentativo viene condotto usando la pagina di Apple per il recupero di una password Apple ID dimenticata, procedura che richiede la conoscenza dell’indirizzo e-mail associato all’account e del numero di telefono dell’utente: quando viene inserito un indirizzo e-mail, la pagina visualizza le ultime due cifre del numero di telefono associato all’account Apple: inserendo le cifre mancanti e premendo Invia, viene inviato un avviso di sistema. Quando ciò avviene, se l’account è configurato con le misure di verifica a due fattori, vengono automaticamente inviate richieste di conferma e autorizzazione su tutti i dispositivi legati a quell’ID Apple, che divengono temporaneamente inutilizzabili.
E’ una tipologia di attacco che, a differenza dei comuni tentativi di phishing dove si cerca di carpire informazioni ad un utente spacciandosi per una controparte affidabile, mira ad esasperare ed allarmare l’utente, preparando il terreno per le fasi successive. Il “bombardamento” di richieste avviene perché gli aggressori riescono a sfruttare un bug che rende possibile proprio inondare la vittima con innumerevoli notifiche.
Last night, I was targeted for a sophisticated phishing attack on my Apple ID.
This was a high effort concentrated attempt at me.
Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.
🧵 Here’s how it went down:
— Parth (@parth220_) March 23, 2024
Il popup di notifica vero e proprio non può essere utilizzato per accedere a un dispositivo Apple o per consentire all’aggressore di prendere il controllo dell’account (anche premendo “Consenti” alla richiesta di cambio password, l’utente potrà cambiare effettivamente la password del proprio account, senza che terze parti possano venirene a conoscenza) e rappresenta in realtà un diversivo che gli aggressori sfruttano per generare confusione e paura nella vittima: dopo l’ondata di notifiche, infatti, l’aggressore contatta telefonicamente la vittima fingendo di essere parte del team di assistenza clienti Apple. A questo punto inizia il certosino lavoro di ingegneria sociale vero e proprio atto a conquistare la fiducia dell’utente: il sedicente membro del team di assistenza comunica che l’account della vittima è sotto attacco e condivide una serie di informazioni e dati per rendere credibile la sua identità. Il suo obiettivo finale è che l’utente comunichi il codice univoco di autorizzazione alla reimpostazione dell’account: nel caso ciò avvenga l’aggressore può prendere il controllo dell’ID Apple dell’utente, escludendo il legittimo titolare.
Su Twitter un utente ha condiviso quanto accaduto, spiegando inoltre di aver contattato il reale servizo clienti della Mela per esporre il problema. Apple ha suggerito di abilitare la chiave di recupero Apple, un codice di 28 caratteri da utilizzare per il recupero dell’account e che impedisce ad un malintenzionato di usare la procedura standard di ripristino dell’account. L’utente osserva però di essere stato comunque oggetto del “bombardamento” di notifiche, nonostante l’abilitazione dell’Apple Recovery Key, segno del fatto che il possibile bug è al momento non noto alla Mela.
Considerando il processo di attacco, è verosimile che si tratti di tentativi a tappeto che vengono effettuati a partire da credenziali di accesso recuperate da violazioni e incidenti di sicurezza, che vengono generalmente messe a disposizione delle comunità criminali nel dark web. L’aspetto importante da tenere presente in questo frangente è che l’unico modo che l’aggressore ha per prendere il controllo dell’account è l’uso del codice di recupero, che non deve mai essere condiviso con terze parti.
Fonte: http://feeds.hwupgrade.it/