Existem muitos ataques de phishing conhecidos que visam usuários de dispositivos Apple para obter acesso ao seu ID Apple. No entanto, um novo ataque “elaborado” usa um bug no recurso de redefinição de senha do ID Apple com técnicas de “push bombing” ou “fadiga MFA” para inundar dispositivos Apple com solicitações de redefinição de senha.
Novo ataque de phishing tenta convencer os usuários a redefinir a senha do ID Apple
Conforme relatado por Krebs sobre segurançao empresário Parth Patel foi uma das vítimas do novo e sofisticado ataque de phishing. Patel explicou em uma postagem no X que seu iPhone e outros dispositivos Apple de repente “começaram a explodir com notificações de redefinição de senha”. No entanto, por se tratar de um alerta de nível de sistema, torna-se impossível usar o dispositivo até que você interaja com ele.
De acordo com Patel, ele recebeu mais de 100 solicitações para redefinir a senha do seu ID Apple. Mas o ataque não parou por aí. Cerca de 15 minutos depois, o usuário recebeu uma ligação de alguém falsificando o número de telefone oficial do suporte da Apple.
“Eu obviamente ainda estava em guarda, então pedi a eles que validassem uma tonelada de informações sobre mim, antes de responder a qualquer uma de suas perguntas”, disse Patel. Para ganhar a confiança da vítima, a pessoa que fingia trabalhar para o suporte da Apple compartilhou vários dados pessoais corretos, como e-mail, número de telefone e endereço de cobrança atual.
Felizmente, Patel conseguiu confirmar que a ligação era uma farsa depois de pedir à pessoa que confirmasse seu nome. “Fui informado de que eles usaram meus dados do People Data Labs em tempo real para validar uma tonelada de informações. Apesar de informar corretamente todos os meus dados, os phishers pensaram que meu nome era Anthony S.”
Para quem não conhece, People Data Labs é uma plataforma que coleta e vende dados pessoais. A plataforma foi alvo de um grande vazamento em 2019 que expôs cerca de 1,2 bilhão de registros.
Nunca compartilhe seu código de redefinição de senha com outras pessoas
O que os invasores querem é convencer as vítimas de que algo está errado e que elas precisam compartilhar o código enviado pela Apple para redefinir a senha. Claro, se a vítima compartilhar esse código com outra pessoa, essa pessoa poderá obter acesso total ao ID Apple.
Krebs sobre segurança conversou com outros usuários de dispositivos Apple que também foram alvo do mesmo ataque de phishing. Em todos os casos, eles receberam spam com solicitações para redefinir a senha do ID Apple e, em seguida, receberam uma ligação do falso suporte da Apple minutos ou dias depois. É importante notar que a Apple nunca liga para os usuários, a menos que solicitado pelos próprios usuários em seu site ou aplicativo.
A Apple ainda não comentou o assunto ou lançou uma atualização que evite que invasores enviem várias solicitações de redefinição de senha. Por enquanto, a melhor maneira de evitar ataques como esse é nunca compartilhar o código para redefinir a senha do seu ID Apple com outras pessoas.
Leia também
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
