Os ataques de phishing que aproveitam o que parece ser um bug no recurso de redefinição de senha da Apple têm se tornado cada vez mais comuns, de acordo com um relatório da KrebsOnSecurity. Vários usuários da Apple foram alvo de um ataque que os bombardeia com um fluxo interminável de notificações ou mensagens de autenticação multifator (MFA) na tentativa de fazer com que aprovem uma alteração de senha do ID Apple.
Um invasor é capaz de fazer com que o iPhone, Apple Watch ou Mac do alvo exiba repetidamente textos de aprovação de alteração de senha no nível do sistema, na esperança de que a pessoa visada aprove a solicitação por engano ou se canse das notificações e clique em no botão aceitar. Se a solicitação for aprovada, o invasor poderá alterar a senha do ID Apple e bloquear o acesso do usuário Apple à sua conta.
Como as solicitações de senha têm como alvo o Apple ID, elas aparecem em todos os dispositivos do usuário. As notificações impossibilitam o uso de todos os produtos Apple vinculados até que os pop-ups sejam descartados um por um em cada dispositivo. O usuário do Twitter Parth Patel recentemente compartilhou sua experiência sendo alvo do ataque, e ele diz que não poderia usar seus dispositivos até clicar em “Não permitir” para mais de 100 notificações.
Quando os invasores não conseguem fazer com que a pessoa clique em “Permitir” na notificação de alteração de senha, os alvos geralmente recebem ligações que parecem vir da Apple. Nessas chamadas, o invasor afirma saber que a vítima está sob ataque e tenta obter a senha de uso único que é enviada ao número de telefone do usuário ao tentar alterar a senha.
No caso de Patel, o invasor estava usando informações vazadas de um site de busca de pessoas, que incluía nome, endereço atual, endereço anterior e número de telefone, dando à pessoa que tentava acessar sua conta amplas informações para trabalhar. Acontece que o invasor tinha seu nome errado e também ficou desconfiado porque foi solicitado um código único que a Apple envia explicitamente com uma mensagem confirmando que a Apple não solicita esses códigos.
O ataque parece depender do acesso do perpetrador ao endereço de e-mail e número de telefone associado a um ID Apple.
KrebsOnSecurity investigou o problema e descobriu que os invasores parecem estar usando a página da Apple para obter uma senha esquecida do Apple ID. Esta página requer o e-mail ou número de telefone Apple ID do usuário e possui um CAPTCHA. Quando um endereço de e-mail é inserido, a página exibe os dois últimos dígitos do número de telefone associado à conta Apple, e preencher os dígitos que faltam e clicar em enviar envia um alerta do sistema.
Não está claro como os invasores estão abusando do sistema para enviar diversas mensagens aos usuários da Apple, mas parece ser um bug que está sendo explorado. É improvável que o sistema da Apple possa ser usado para enviar mais de 100 solicitações, então, presumivelmente, o limite de taxa está sendo contornado.
Os proprietários de dispositivos Apple visados por esse tipo de ataque devem tocar em “Não permitir” em todas as solicitações e devem estar cientes de que a Apple não faz ligações solicitando códigos de redefinição de senha únicos.
