Um dos ataques mais recentes ao iPhone mostra partes mal-intencionadas abusando do sistema de redefinição de senha do ID Apple para inundar os usuários com solicitações do iOS para assumir o controle de suas contas. Veja como você pode se proteger contra ataques de redefinição de senha do iPhone (geralmente chamados de “bombardeio MFA”).
Recentemente, ouvimos falar de usuários da Apple sendo alvo de bombardeio MFA (também chamado de fadiga MFA ou push bombing). Não é um ataque novo, mas pode ser um golpe convincente, pois envia solicitações oficiais de redefinição de senha do iOS às vítimas.
Conforme detalhado por Krebs sobre segurança (através da Parte Patel), os invasores que abusam dessa vulnerabilidade parecem estar fazendo isso por meio do número de telefone de um usuário da Apple, que pode bombardear seu iPhone e outros dispositivos Apple com mais de 100 solicitações do sistema MFA (autenticação multifator) para redefinir a senha do seu ID Apple.
Atualização 21/04/24: Não vimos mais casos de “bombardeio” desse ataque desde que a Apple lançou uma solução no final de março. No entanto, um 9to5Mac companheiro de equipe e eu vimos o ataque de senha neste fim de semana em nossos dispositivos Apple.
No meu caso, recebi a solicitação de redefinição de senha no meu iPhone e no meu Mac. Felizmente, era apenas um prompt em cada dispositivo, então eles recusaram rapidamente. Fique atento e seguro lá fora!
Atualização 28/03/24 14h40 PT: 9to5Mac ouviu um porta-voz da Apple sobre esse problema. A empresa tem conhecimento dos poucos casos recentes desses ataques de phishing e a Apple tomou medidas para resolver o problema.
Como se proteger contra ataques de redefinição de senha do iPhone
- Declínio, declínio, declínio
- Como as solicitações de redefinição de senha são um alerta no nível do sistema, parece convincente – mas certifique-se de escolher “Não permita” para todos eles
- Uma forma de os invasores desgastarem as vítimas é bombardeá-las com centenas de avisos, às vezes durante vários dias – continue escolhendo “Não permita” e opcionalmente use a etapa 3 abaixo
- Observação: se você vir uma solicitação de redefinição de senha na Web que possa ser um esquema de phishing diferente, feche a página pois qualquer um dos botões pode levar a um link malicioso
- Não atenda chamadas telefônicas – mesmo que o identificador de chamadas diga “Suporte Apple” ou similar
- Os invasores estão usando falsificação de chamadas, o que pode fazer com que o número recebido apareça como o número de telefone oficial do suporte da Apple e eles podem verificar informações pessoais, fazendo com que o golpe pareça legítimo
- Em seguida, eles tentam obter de você uma senha única para assumir o controle de sua conta Apple
- Em caso de dúvida, recuse a chamada – e ligue de volta para a Apple (800.275.2273 nos EUA) – a falsificação de chamada não deve ser capaz de interceptar sua chamada de saída para o verdadeiro Apple
- Apple destaca isso não vai fazer chamadas de saída “a menos que o cliente solicite ser contatado” e que você deve nunca compartilhe códigos únicos com ninguém
- Altere temporariamente seu número de telefone associado ao seu ID Apple
- Se você continuar recebendo as solicitações, alterar o número de telefone vinculado ao seu ID Apple deve interrompê-las
- No entanto, tenha em mente isso irá interferir no iMessage e no FaceTime
Mais detalhes
Como observado em Krebs sobre segurança artigo, parece que há um problema de limite de taxa com o sistema de redefinição de senha do ID Apple.
Que sistema de autenticação bem projetado enviaria dezenas de solicitações de alteração de senha em poucos momentos, quando as primeiras solicitações nem sequer foram atendidas pelo usuário? Isso poderia ser resultado de um bug nos sistemas da Apple?
Esperançosamente, a Apple está trabalhando em uma correção para que partes mal-intencionadas não possam abusar deste sistema. Mas, infelizmente, o golpe de redefinição de senha foi destacado por usuários por pelo menos dois anos (provavelmente mais).
Uma vítima recente compartilhou que um engenheiro sênior da Apple o aconselhou a ativar o recurso Recovery Key para seu ID Apple para interromper as notificações de redefinição de senha. No entanto, em testes adicionais, esse não foi o caso, e a chave de recuperação da Apple verificada por Krebs on Security não impede solicitações de redefinição de senha.
Relacionado:
Imagens de 9to5Mac