Cybercriminali hanno ideato un attacco che sfrutta la funzionalità che permette di reimpostare la password dell’ID Apple dal web, prendendo di mira alcuni utenti bombardandoli con decine e decine di richieste di reset della password per convincerli a premere “Consenti” sullo schermo del telefono, sperando che si facciano prendere dal panico o dalla fretta e confermino la procedura di reset.
L’imprenditore Parth Patel racconta di avere ricevuto un enorme quantità di notifiche che invitavano a reimpostare la password del suo account. “Tutti i miei dispositivi hanno cominciato a impazzire: il mio orologio, il mio portatile, il mio telefono” riferisce KrebsOnSecurity riportando le parole di Patel e ricordando la funzione che mostra le notifiche sui vari dispositivi registrati con lo stesso account.
Le notifiche, ricevute centinaia di volte, sembrano arrivare da Apple e impediscono di usare il telefono fino a quando non si preme “Consenti” o si rifiuta l’azione per ognuna delle notifiche ricevute.
L’imprenditore non si è fatto prendere dal panico, ha cliccato su “Non consentire” per tutte le notifiche ricevute ma questo non è bastato a far desistere i criminali: dopo alcuni minuti ha ricevuto una chiamata da un numero che appariva come il reale numero di telefono di supporto Apple, con una persona che conosceva vari dettagli su di lui e chiedeva di conoscere il codice monouso inviato tramite messaggi sul telefono (il codice che Apple chiede come conferma per procedere con il reset della password indicando espressamente di non comunicarlo a nessuno per nessun motivo).
L’obiettivo era ovviamente quello di riuscire a entrare in possesso dell’account per modificare la password e rimuovere l’account Apple dai vari dispositivi della vittima.
Attacchi di questo tipo sono possibili conoscendo informazioni sul target di riferimento (es. numero di telefono, mail) che non sono ormai difficili da recuperare.
Partendo dalla pagina web che permette di reimpostare la password dell’ID Apple, è possibile indicare la mail, il numero di telefono dell’utente e indicare un captcha per far comparire la notifica di reset all’utente.
Non è chiaro come truffatori riescano a inviare un gran numero di notifiche una dopo l’altra e sorprende che Apple non abbia imposto un limite; si tratta probabilmente di un bug nel sistema che consente di reimpostare la password e bisogna pertanto fare attenzione a quanto si ricevono notifiche apparentemente inviate da Apple. Ovviamente NON bisogna indicare a presunti operatori che lavorano per conto di Apple il codice di ripristino inviato via SMS.
The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.
First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.
Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN
— Parth (@parth220_) March 23, 2024
Il meccanismo ricorda truffe simili per accedere a conti correnti bancari, tentativi di frode che consistono nell’invitare i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, con correntisti che abboccano alla truffa perché presi dal panico o perché pensano sia davvero un messaggio inviato dalla propria banca.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.