Gli utenti dei servizi Apple sono diventati il nuovo bersaglio
di una sofisticata campagna di ingegneria sociale di tipo “MFA
Bombing” che fa leva sul senso di urgenza che l’utente prova quando
si vede recapitare una richiesta di autorizzazione alla reimpostazione
password sui propri dispositivi, sfruttando un presunto bug presente nel
meccanismo di reset della password di Apple.
I dettagli di questo attacco vengono
spiegati sul blog Krebs on Security, dove si evidenzia come la
richiesta di reset della password sia autentica e avviene perché un
aggressore sta cercando di reimpostare la password di un ID Apple preso di
mira. Il tentativo viene condotto usando la pagina di Apple per il
recupero di una password Apple ID dimenticata, procedura che
richiede la conoscenza dell’indirizzo e-mail associato all’account e del
numero di telefono dell’utente: quando viene inserito un indirizzo e-mail,
la pagina visualizza le ultime due cifre del numero di telefono associato
all’account Apple: inserendo le cifre mancanti e premendo Invia, viene
inviato un avviso di sistema. Quando ciò avviene, se l’account è
configurato con le misure di verifica a due fattori, vengono
automaticamente inviate richieste di conferma e autorizzazione su tutti i
dispositivi legati a quell’ID Apple, che divengono temporaneamente
inutilizzabili.
E’ una tipologia di attacco che, a differenza dei comuni tentativi di
phishing dove si cerca di carpire informazioni ad un utente spacciandosi
per una controparte affidabile, mira ad esasperare ed allarmare l’utente,
preparando il terreno per le fasi successive. Il “bombardamento” di
richieste avviene perché gli aggressori riescono a sfruttare un bug che
rende possibile proprio inondare la vittima con innumerevoli notifiche.
Last night, I was targeted for a sophisticated
phishing attack on my Apple ID.This was a high effort concentrated attempt at me.
Other founders are being targeted by the same group/attack, so Im
sharing what happened for visibility.🧵 Heres how it went down:
Parth (@parth220_) March
23, 2024
Il popup di notifica vero e proprio non può essere utilizzato per
accedere a un dispositivo Apple o per consentire all’aggressore di
prendere il controllo dell’account (anche premendo “Consenti” alla
richiesta di cambio password, l’utente potrà cambiare effettivamente la
password del proprio account, senza che terze parti possano venirene a
conoscenza) e rappresenta in realtà un diversivo che gli aggressori
sfruttano per generare confusione e paura nella vittima: dopo
l’ondata di notifiche, infatti, l’aggressore contatta telefonicamente
la vittima fingendo di essere parte del team di assistenza clienti Apple.
A questo punto inizia il certosino lavoro di ingegneria sociale vero e
proprio atto a conquistare la fiducia dell’utente: il sedicente membro del
team di assistenza comunica che l’account della vittima è sotto attacco e
condivide una serie di informazioni e dati per rendere credibile la sua
identità. Il suo obiettivo finale è che l’utente comunichi il codice
univoco di autorizzazione alla reimpostazione dell’account: nel caso ciò
avvenga l’aggressore può prendere il controllo dell’ID Apple dell’utente,
escludendo il legittimo titolare.
Su Twitter un utente ha condiviso quanto accaduto, spiegando inoltre di
aver contattato il reale servizo clienti della Mela per esporre il
problema. Apple ha suggerito di abilitare la chiave di recupero Apple, un
codice di 28 caratteri da utilizzare per il recupero dell’account e che
impedisce ad un malintenzionato di usare la procedura standard di
ripristino dell’account. L’utente osserva però di essere stato comunque
oggetto del “bombardamento” di notifiche, nonostante l’abilitazione dell’Apple
Recovery Key, segno del fatto che il possibile bug è al momento non
noto alla Mela.
Considerando il processo di attacco, è verosimile che si tratti di
tentativi a tappeto che vengono effettuati a partire da credenziali di
accesso recuperate da violazioni e incidenti di sicurezza, che vengono
generalmente messe a disposizione delle comunità criminali nel dark web.
L’aspetto importante da tenere presente in questo frangente è che l’unico
modo che l’aggressore ha per prendere il controllo dell’account è l’uso
del codice di recupero, che non deve mai essere condiviso con terze
parti.