Ataques recientes de 'MFA Bombing' apuntan a usuarios de Apple

 (krebsonsecurity.com)
1 puntos por GN⁺ 2024-03-28 | 1 comentarios | Compartir por WhatsApp

Sofisticado ataque de phishing dirigido a clientes de Apple

  • Recientemente, clientes de Apple han sido blanco de un sofisticado ataque de phishing que parece explotar un fallo en la función de restablecimiento de contraseña de Apple.
  • El ataque obliga a que los dispositivos Apple del objetivo muestren decenas de avisos a nivel de sistema, dejando el dispositivo inutilizable hasta que se responda a cada aviso con 'Permitir' o 'No permitir'.
  • Suponiendo que el usuario no pulse por error el botón equivocado, los estafadores llaman haciéndose pasar por soporte de Apple y dicen que la cuenta del usuario está bajo ataque y que deben "verificar" un código de un solo uso.

Ataques de bombardeo de notificaciones push y fatiga de MFA

  • El fundador Parth Patel, que está intentando construir una startup en el campo de la IA conversacional, documentó en Twitter una campaña reciente de phishing dirigida contra él.
  • Este ataque es conocido como un ataque de 'push bombing' o de 'fatiga de MFA', y abusa de funciones o debilidades de los sistemas de autenticación multifactor (MFA) para inundar el dispositivo de la víctima con alertas de cambio de contraseña o aprobación de inicio de sesión.
  • Patel dijo que todos sus dispositivos explotaron con alertas del sistema de Apple solicitando aprobación para restablecer la contraseña de su cuenta.

El número de teléfono es la clave

  • Chris, propietario de un hedge fund de criptomonedas, experimentó un intento de phishing similar, y los atacantes siguieron enviando alertas de restablecimiento a sus dispositivos durante varios días.
  • Chris recibió una llamada de alguien que se hacía pasar por soporte de Apple, pero al llamar a la verdadera Apple para confirmarlo, le dijeron que Apple no llama primero a sus clientes.
  • Chris cambió su contraseña, compró un iPhone nuevo y luego creó una nueva cuenta de Apple iCloud con una nueva dirección de correo electrónico.

¡Tengan cuidado!

  • Ken, un veterano de la industria de la seguridad, recibió avisos del sistema no autorizados similares bajo condición de anonimato, aunque no recibió una llamada falsa de soporte de Apple.
  • Ken contactó al soporte de Apple y finalmente fue conectado con un ingeniero senior de Apple, quien le aseguró que activar una clave de recuperación en la cuenta haría que las alertas se detuvieran de forma permanente.
  • La clave de recuperación es una función de seguridad opcional que mejora la seguridad de la cuenta y, al activarse, deshabilita el proceso estándar de recuperación de cuenta de Apple.

Limitación de velocidad

  • ¿Un sistema de autenticación diseñado razonablemente enviaría decenas de solicitudes de cambio de contraseña en cuestión de minutos antes de que el usuario siquiera pudiera responder a la primera?
  • Apple aún no responde a la solicitud de comentarios al respecto.

¿Qué se puede hacer?

  • Apple exige que la cuenta tenga un número de teléfono, pero después de configurar la cuenta no necesariamente tiene que ser un número móvil.
  • Apple acepta números VOIP como los de Google Voice, por lo que cambiar el número telefónico de la cuenta a uno VOIP podría ser una medida de mitigación.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-03-28
Opiniones en Hacker News

  • Resumen del primer comentario:

    Hay información importante que falta en el artículo y en los comentarios principales: aunque toques por error "Permitir", eso no significa que el atacante pueda cambiar la contraseña desde un navegador web. Al tocar "Permitir", aparece un PIN de 6 dígitos en el dispositivo del usuario, y el usuario puede cambiar la contraseña desde su propio dispositivo. La etapa final del ataque es que el atacante llama haciéndose pasar por un número de Apple y le pide al usuario que le lea el PIN de 6 dígitos. Si el usuario se lo dice por teléfono, el atacante puede usar ese PIN para restablecer la contraseña del usuario.

  • Resumen del segundo comentario:

    Este problema le ocurrió al autor del comentario y a su esposa en 2021 o 2022. Al principio recibían solicitudes unas cuantas veces al día, pero con el tiempo empezaron a llegar cada hora. Para bloquear los intentos del atacante, configuró ambos cuentas para usar una clave de recuperación. Además, reforzó la protección de datos y desactivó el acceso web para que solo los dispositivos de confianza pudieran acceder a los datos y registrar dispositivos nuevos.

  • Resumen del tercer comentario:

    Si el mensaje de restablecimiento de contraseña permite restablecer la contraseña desde otro dispositivo, entonces ese diseño es muy malo. El mensaje dice explícitamente "usar este iPhone para restablecer", así que se asume que quien hizo clic en "Permitir" va a configurar la nueva contraseña en ese mismo dispositivo.

  • Resumen del cuarto comentario:

    Se pregunta si el verdadero problema no es la capacidad misma de activar este tipo de avisos en dispositivos Apple (o cosas como el aviso para configurar un dispositivo nuevo mediante Bluetooth que salió en las noticias el año pasado). La función para restablecer contraseñas es necesaria, pero según el artículo se pueden hacer 30 solicitudes de restablecimiento en poco tiempo. ¿Por qué eso no se considera malicioso?

  • Resumen del quinto comentario:

    Una vez recibió una llamada que aparecía como proveniente del centro de soporte de Apple. Eso ocurrió dos días después de haber pedido una nueva MacBook en la Apple Store en línea. Como estaba esperando la entrega, casi contesta, pero en cambio llamó directamente al soporte de Apple para confirmar si realmente habían llamado. Le respondieron que no.

  • Resumen del sexto comentario:

    Se pregunta cuánto falta para que otro objetivo de este tipo de llamadas sea recopilar suficiente voz del usuario como para clonarla de forma convincente.

  • Resumen del séptimo comentario:

    Le confunde qué ocurre exactamente después de hacer clic en "Permitir". Se pregunta si Apple ofrece un formulario para restablecer la contraseña en el sitio web iForgot, o si eso solo aparece en el dispositivo.

  • Resumen del octavo comentario:

    Le ocurrió hace unos dos años. Cuando hay una avalancha de solicitudes de restablecimiento de contraseña de iCloud y luego llega una llamada que aparenta ser de Apple Care, resulta desconcertante. El atacante respondía con soltura preguntas relacionadas con Apple. Es posible que los datos de la cuenta del autor del comentario se hayan filtrado en el gran hackeo de Ledger, y los atacantes apuntaban a personas con criptomonedas. En ese momento, la seguridad de iCloud era muy débil.

  • Resumen del noveno comentario:

    Odia el Push MFA desde que se introdujo. Ingresar un código no es realmente difícil, pero al final todo termina en notificaciones push que también piden un código para defenderse de los ataques de bombardeo push.

  • Resumen del décimo comentario:

    Desde hace unos días está recibiendo cada pocas horas correos de su cuenta de LinkedIn con enlaces mágicos de inicio de sesión. Los correos parecen haberse enviado desde varias ubicaciones del mundo y lucen auténticos.