Varios Manzana Los clientes informaron recientemente haber sido blanco de elaborados ataques de phishing que involucran lo que parece ser un error en la función de restablecimiento de contraseña de Apple. En este escenario, los dispositivos Apple de un objetivo se ven obligados a mostrar docenas de mensajes a nivel del sistema que impiden que los dispositivos se utilicen hasta que el destinatario responda “Permitir” o “No permitir” a cada mensaje. Suponiendo que el usuario logra no presionar el botón equivocado en la enésima solicitud de restablecimiento de contraseña, los estafadores llamarán a la víctima mientras falsifican el soporte de Apple en el identificador de llamadas, diciendo que la cuenta del usuario está bajo ataque y que el soporte de Apple necesita “verificar ”un código de un solo uso.
Algunas de las muchas notificaciones que Patel dice que recibió de Apple todas al mismo tiempo.
Parth Patel es un emprendedor que intenta construir una startup en el espacio de la IA conversacional. El 23 de marzo, Patel documentado en Twitter/X una reciente campaña de phishing dirigida a él que involucró lo que se conoce como un ataque de “bombardeo de empuje” o “fatiga MFA”, en el que los phishers abusan de una característica o debilidad de un sistema de autenticación multifactor (MFA) de una manera que inunda el dispositivo del objetivo ( s) con alertas para aprobar un cambio de contraseña o iniciar sesión.
“Todos mis dispositivos empezaron a explotar, mi reloj, mi computadora portátil y mi teléfono”, dijo Patel a KrebsOnSecurity. “Era como esta notificación del sistema de Apple para aprobar [a reset of the account password]pero no pude hacer nada más con mi teléfono. Tuve que revisar y rechazar más de 100 notificaciones”.
Algunas personas que se enfrentan a tal diluvio pueden eventualmente hacer clic en “Permitir” ante las incesantes solicitudes de restablecimiento de contraseña, solo para poder usar su teléfono nuevamente. Otros pueden aprobar sin darse cuenta una de estas indicaciones, que también aparecerán en el reloj Apple de un usuario, si lo tienen.
Pero los atacantes en esta campaña tenían un as bajo la manga: Patel dijo que después de negar todas las solicitudes de restablecimiento de contraseña de Apple, recibió una llamada en su iPhone que decía que era del soporte técnico de Apple (el número que se mostraba era 1-800-275). -2273, línea de atención al cliente real de Apple).
“Levanto el teléfono y tengo muchas sospechas”, recordó Patel. “Así que les pregunto si pueden verificar alguna información sobre mí, y después de escuchar algunas mecanografías agresivas por su parte, me da toda esta información sobre mí y es totalmente precisa”.
Es decir, todo excepto su nombre real. Patel dijo que cuando le pidió al falso representante de soporte de Apple que validara el nombre que tenían registrado para la cuenta de Apple, la persona que llamó le dio un nombre que no era el suyo, sino uno que Patel solo ha visto en informes de antecedentes sobre él que están a la venta en un sitio web de búsqueda de personas llamado PersonasDataLabs.
Patel dijo que ha trabajado bastante duro para eliminar su información de múltiples sitios web de búsqueda de personas y descubrió que PeopleDataLabs incluía de manera única y consistente este nombre inexacto como un alias en su perfil de consumidor.
“Por alguna razón, PeopleDataLabs tiene tres perfiles que aparecen cuando buscas mi información, y dos de ellos son míos, pero uno es un maestro de escuela primaria del medio oeste”, dijo Patel. “Les pedí que verificaran mi nombre y dijeron Anthony”.
Patel dijo que el objetivo de los phishers de voz es activar el envío de un código de restablecimiento de ID de Apple al dispositivo del usuario, que es un mensaje de texto que incluye una contraseña de un solo uso. Si el usuario proporciona ese código de un solo uso, los atacantes pueden restablecer la contraseña de la cuenta y bloquear al usuario. Luego, también pueden borrar de forma remota todos los dispositivos Apple del usuario.
EL NÚMERO DE TELÉFONO ES CLAVE
Chris es propietario de un fondo de cobertura de criptomonedas y pidió que solo se usara su nombre para no pintarse un objetivo más grande. Chris le dijo a KrebsOnSecurity que experimentó un intento de phishing notablemente similar a fines de febrero.
“La primera alerta que recibí presioné ‘No permitir’, pero justo después recibí como 30 notificaciones más seguidas”, dijo Chris. “Pensé que tal vez estaba sentado frente a mi teléfono de manera extraña, o que accidentalmente estaba presionando algún botón que estaba causando esto, así que simplemente lo negué todo”.
Chris dice que los atacantes continuaron atacando sus dispositivos con las notificaciones de reinicio durante varios días después de eso, y en un momento recibió una llamada en su iPhone que decía que era del soporte de Apple.
“Dije que les devolvería la llamada y colgué”, dijo Chris, demostrando la respuesta adecuada a solicitudes tan espontáneas. “Cuando volví a llamar al Apple real, no pudieron decir si alguien había estado en una llamada de soporte conmigo en ese momento. Simplemente dijeron que Apple afirma muy claramente que nunca iniciará llamadas salientes a los clientes, a menos que el cliente solicite ser contactado”.
Chris, muy asustado de que alguien estuviera tratando de secuestrar su vida digital, dijo que cambió sus contraseñas y luego fue a una tienda Apple y compró un nuevo iPhone. A partir de ahí, creó una nueva cuenta de Apple iCloud usando una nueva dirección de correo electrónico.
Chris dijo que luego procedió a recibir aún más alertas del sistema en su nuevo iPhone y cuenta de iCloud. todo el tiempo sentado en el Apple Genius Bar local.
Chris le dijo a KrebsOnSecurity que su técnico de Genius Bar estaba desconcertado sobre la fuente de las alertas, pero Chris dijo que sospecha que cualquier cosa que los phishers estén abusando para generar rápidamente estas alertas del sistema Apple requiere conocer el número de teléfono registrado en la cuenta de Apple del objetivo. Después de todo, ese era el solo aspecto del nuevo iPhone de Chris y de su cuenta de iCloud que no había cambiado.
¡CUIDADO!
“Ken” es un veterano de la industria de la seguridad que habló bajo condición de anonimato. Ken dijo que comenzó a recibir estas alertas del sistema no solicitadas en sus dispositivos Apple a principios de este año, pero que no recibió ninguna llamada falsa de soporte de Apple como otros han informado.
“Esto me pasó recientemente en medio de la noche a las 0:30 am”, dijo Ken. “Y aunque tengo mi reloj Apple configurado para permanecer en silencio durante el horario en el que normalmente duermo por la noche, me despertó con una de estas alertas. Gracias a Dios no presioné ‘Permitir’, que fue la primera opción que apareció en mi reloj. Tuve que desplazarme y mirar la rueda para ver y presionar el botón ‘No permitir’”.
Ken compartió esta foto que tomó de una alerta en su reloj que lo despertó a las 12:30 am. Ken dijo que tuvo que desplazarse por la esfera del reloj para ver el botón “No permitir”.
Inquieto por la idea de que podría haberse dado la vuelta mientras dormía y haber permitido que los delincuentes se apoderaran de su cuenta de Apple, Ken dijo que se puso en contacto con el soporte real de Apple y finalmente lo derivaron a un ingeniero senior de Apple. El ingeniero le aseguró a Ken que activar una clave de recuperación de Apple para su cuenta detendría las notificaciones de una vez por todas.
Una clave de recuperación es una característica de seguridad opcional que, según Apple, “ayuda a mejorar la seguridad de su cuenta de ID de Apple”. Es un código de 28 caracteres generado aleatoriamente, y cuando habilita una clave de recuperación, se supone que deshabilita el proceso de recuperación de cuenta estándar de Apple. La cuestión es que habilitarlo no es un proceso simple, y si alguna vez pierdes ese código además de todos tus dispositivos Apple, quedarás bloqueado permanentemente.
Ken dijo que habilitó una clave de recuperación para su cuenta según las instrucciones, pero que eso no impidió que las alertas espontáneas del sistema aparecieran en todos sus dispositivos cada pocos días.
KrebsOnSecurity probó la experiencia de Ken y puede confirmar que habilitar una clave de recuperación no impide que se envíe un mensaje de restablecimiento de contraseña a los dispositivos Apple asociados. Al visitar la página “Olvidé mi contraseña” de Apple, https://iforgot.apple.com, se solicita una dirección de correo electrónico y el visitante debe resolver un CAPTCHA.
Después de eso, la página mostrará los dos últimos dígitos del número de teléfono vinculado a la cuenta de Apple. Completar los dígitos que faltan y presionar enviar en ese formulario enviará una alerta del sistema, ya sea que el usuario haya habilitado o no una clave de recuperación de Apple.
La página de restablecimiento de contraseña en iforgot.apple.com.
LÍMITES DE TARIFAS
¿Qué sistema de autenticación sensatamente diseñado enviaría docenas de solicitudes de cambio de contraseña en el lapso de unos pocos momentos, cuando el usuario ni siquiera ha actuado sobre las primeras solicitudes? ¿Podría ser esto el resultado de un error en los sistemas de Apple?
Apple aún no ha respondido a las solicitudes de comentarios.
A lo largo de 2022, un grupo de piratería criminal conocido como LAPSUS$ utilizó los bombardeos del MFA con gran efecto en intrusiones en cisco, microsoft y Úber. En respuesta, Microsoft comenzó a aplicar la “coincidencia de números MFA”, una función que muestra una serie de números a un usuario que intenta iniciar sesión con sus credenciales. Luego, estos números deben ingresarse en la aplicación de autenticación de Microsoft del propietario de la cuenta en su dispositivo móvil para verificar que están iniciando sesión en la cuenta.
Kishan Bagaria es un investigador e ingeniero de seguridad aficionado que fundó el sitio web texts.com (ahora propiedad de Automattic) y está convencido de que Apple tiene un problema. En agosto de 2019, Bagaria informó a Apple un error que permitía un exploit que denominó “AirDoS” porque podría usarse para permitir que un atacante envíe spam infinitamente a todos los dispositivos iOS cercanos con un mensaje a nivel del sistema para compartir un archivo a través de AirDrop: un archivo- Capacidad para compartir integrada en los productos Apple.
Apple solucionó ese error casi cuatro meses después, en diciembre de 2019, agradeciendo a Bagaria en el boletín de seguridad asociado. Bagaria dijo que la solución de Apple fue agregar un límite de velocidad más estricto en las solicitudes de AirDrop, y sospecha que alguien ha descubierto una manera de eludir el límite de velocidad de Apple sobre cuántas de estas solicitudes de restablecimiento de contraseña se pueden enviar en un período de tiempo determinado.
“Creo que esto podría ser un error legítimo en el límite de tarifas de Apple que debería informarse”, dijo Bagaria.
¿QUÉ PUEDES HACER?
Apple parece requerir que se registre un número de teléfono para su cuenta, pero una vez que haya configurado la cuenta, no tiene que ser un número de teléfono móvil. Las pruebas de KrebsOnSecurity muestran que Apple aceptará un número VOIP (como Google Voice). Por lo tanto, cambiar el número de teléfono de su cuenta a un número VOIP que no sea ampliamente conocido sería una mitigación en este caso.
Una advertencia con la idea del número VOIP: a menos que incluya un número de móvil real, Apple iMessage y cara a cara Las aplicaciones se desactivarán para ese dispositivo. Esto podría ser una ventaja para aquellos preocupados por reducir la superficie de ataque general de sus dispositivos Apple, ya que los proveedores de software espía han utilizado repetidamente los días cero con clic cero en estas aplicaciones.
Además, parece que el sistema de restablecimiento de contraseña de Apple aceptará y respetará los alias de correo electrónico. Agregar un carácter “+” después de la parte del nombre de usuario de su dirección de correo electrónico, seguido de una notación específica del sitio en el que se está registrando, le permite crear una cantidad infinita de direcciones de correo electrónico únicas vinculadas a la misma cuenta.
Por ejemplo, si me registrara en ejemplo.com, podría dar mi dirección de correo electrónico como krebsonsecurity+example@gmail.com. Luego, simplemente vuelvo a mi bandeja de entrada y creo la carpeta correspondiente llamada “Ejemplo”, junto con un nuevo filtro que envía cualquier correo electrónico dirigido a ese alias a la carpeta Ejemplo. En este caso, sin embargo, quizás sería aconsejable un alias menos obvio que “+apple”.
Fuente Original Krebs on Security
