De acordo com um relatório recente sobre KrebsOnSecurity, vários usuários da Apple estão sendo alvo de ataques de phishing que aproveitam o que parece ser um bug no recurso de redefinição de senha da Apple. Nesse ataque, os usuários são bombardeados com dezenas de notificações ou solicitações de autenticação multifator (MFA) para alterar a senha do ID Apple.
O invasor conseguiu fazer com que o iPhone, Mac ou Apple Watch alvo fosse exibido intermináveis solicitações de alteração de senha no nível do sistema que impedem que os dispositivos sejam usados até que o usuário escolha “Permitir” ou “Não permitir” para cada solicitação. O invasor faz isso repetidamente na esperança de que o alvo aprove a solicitação por engano ou se canse das intermináveis notificações e clique no botão permitir. Quando a solicitação for aprovada, o invasor pode alterar a senha do Apple ID e bloquear o acesso do usuário à sua conta Apple.
Essas solicitações de redefinição de senha aparecerão em todos os dispositivos Apple onde um usuário fez login com o mesmo ID Apple. Portanto, o usuário não poderá usar nenhum de seus dispositivos Apple vinculados até que os pop-ups sejam dispensados um a um em cada um deles.
Um usuário X (também conhecido como Twitter), Parth Patel compartilhou sua história de ser alvo deste ataque de phishing ao seu ID Apple. Ele disse que não poderia usar seus dispositivos Apple até clicar em “Não permitir” para mais de 100 notificações.
Esses ataques não se limitam apenas ao envio de notificações. Os atacantes tinham um ás na manga. Quando os invasores não conseguem fazer com que o usuário alvo clique em “Permitir” nas notificações de redefinição de senha, eles farão chamadas usando falsificação de identificador de chamadas da linha telefônica oficial de suporte da Apple. Durante a ligação, o invasor afirma saber que o usuário está sob ataque e terá empatia pela vítima para ganhar sua confiança. O invasor tentará obter a senha de uso único enviada ao número de telefone da vítima ao tentar solicitações de alteração de senha.
No caso de Parth, o invasor usou informações vazadas de um site de busca de pessoas, que incluía detalhes pessoais como nome, número de telefone, endereço atual, endereço anterior e muito mais. De alguma forma, o agressor errou o nome. O alvo ficou desconfiado quando foi solicitado a compartilhar um código único que parecia ter sido enviado explicitamente pela Apple com uma mensagem dizendo que a Apple não solicita nenhum código. No entanto, o invasor possui o endereço de e-mail e o número de telefone associados ao ID Apple do usuário.
KrebsOnSecurity estudou o problema e descobriu que esses invasores parecem estar usando uma Página da Apple para uma senha esquecida do Apple ID. Esta página requer um ID Apple ou número de telefone e possui um CAPTCHA. Quando você insere um endereço de e-mail, a página exibe os dois últimos dígitos do número de telefone vinculado a essa conta Apple. Quando alguém preenche os dígitos que faltam e clica no botão enviar, um alerta do sistema é enviado.
No momento, não está claro como os invasores conseguem abusar do sistema e conseguem enviar diversas solicitações aos usuários da Apple. Parece que há um bug no sistema que está sendo explorado. O sistema Apple não pode enviar mais de 100 solicitações de uma vez, então provavelmente o limite de taxa está sendo contornado.
Se você for um usuário da Apple, certifique-se de tocar em “Não permitir” em todas as solicitações de alteração de senha, a menos que você tenha feito a solicitação deliberadamente. Além disso, tenha em mente que A Apple nunca faz ligações pedindo códigos de senha de uso único. Portanto, você deve agir com inteligência e escapar desses perigos.