En uno de los ataques más recientes al iPhone, partes maliciosas abusan del sistema de restablecimiento de contraseña de ID de Apple para inundar a los usuarios con solicitudes de iOS para tomar el control de sus cuentas. A continuación le mostramos cómo puede protegerse contra ataques de restablecimiento de contraseña de iPhone (a menudo llamados «bombardeo MFA»).
Recientemente, hemos oído hablar de usuarios de Apple que han sido objeto de bombardeos MFA (también llamados fatiga MFA o bombardeos de empuje). No es un ataque nuevo, pero podría ser una estafa convincente, ya que envía solicitudes oficiales de restablecimiento de contraseña de iOS a las víctimas.
Como lo detalla Krebs sobre la seguridad (a través de la parte de patel), los atacantes que abusan de esta vulnerabilidad parecen hacerlo a través del número de teléfono de un usuario de Apple, que puede bombardear su iPhone y otros dispositivos Apple con más de 100 solicitudes del sistema MFA (autenticación multifactor) para restablecer su contraseña.
Actualización 21/04/24: No hemos visto más casos de “bombardeo” de este ataque desde que Apple lanzó una solución a finales de marzo. Sin embargo, un 9to5Mac Un compañero de equipo y yo vimos el ataque de contraseña este fin de semana en nuestros dispositivos Apple.
En mi caso, recibí el mensaje de restablecimiento de contraseña tanto en mi iPhone como en mi Mac. Afortunadamente, era solo un mensaje en cada dispositivo, por lo que lo rechazaron rápidamente. ¡Manténgase alerta y seguro ahí fuera!
Actualización 28/03/24 2:40 p. m. (hora del Pacífico): 9to5Mac Escuché de un portavoz de Apple sobre este tema. La compañía es consciente de los pocos casos recientes de estos ataques de phishing y Apple ha tomado medidas para solucionar el problema.
Cómo protegerse de los ataques de restablecimiento de contraseña del iPhone
- Declive, declive, declive
- Dado que las solicitudes de restablecimiento de contraseña son una alerta a nivel del sistema, suena convincente, pero asegúrese de elegir «No permitir» para todos ellos
- Una forma en que los atacantes desgastan a las víctimas es bombardearlas con cientos de advertencias, a veces durante varios días; siga seleccionando «No permitir» y opcionalmente utilice el paso 3 a continuación
- Nota: Si ve una solicitud de restablecimiento de contraseña en la web que podría ser una estafa de phishing diferente, cerrar la pagina ya que cualquiera de los botones puede conducir a un enlace malicioso
- No contestes llamadas telefónicas – incluso si el identificador de llamadas dice “Soporte Apple” o similar
- Los atacantes están utilizando la suplantación de llamadas, lo que puede hacer que el número que reciben aparezca como el número de teléfono oficial de soporte técnico de Apple y pueden verificar información personal, haciendo que la estafa parezca legítima.
- Luego intentan obtener una contraseña única para tomar el control de su cuenta de Apple.
- En caso de duda, rechace la llamada y vuelva a llamar a Apple (800.275.2273 en EE. UU.). El falsificador de llamadas no debería poder interceptar su llamada saliente al Apple real.
- Apple destaca esto No lo hará llamadas salientes “a menos que el cliente solicite ser contactado” y que usted debe nunca compartas códigos únicos con nadie
- Cambia temporalmente tu número de teléfono asociado con su ID de Apple
- Si continúa recibiendo solicitudes, cambiar el número de teléfono vinculado a su ID de Apple debería detenerlas.
- Sin embargo, tenga en cuenta Esto interferirá con iMessage y FaceTime
Más detalles
Como se señala en Krebs sobre la seguridad artículo, parece que hay un problema de límite de velocidad con el sistema de restablecimiento de contraseña de ID de Apple.
¿Qué sistema de autenticación bien diseñado enviaría docenas de solicitudes de cambio de contraseña en unos instantes, cuando el usuario ni siquiera respondió a las primeras solicitudes? ¿Podría ser esto el resultado de un error en los sistemas de Apple?
Esperemos que Apple esté trabajando en una solución para que partes malintencionadas no puedan abusar de este sistema. Pero desafortunadamente, la estafa de restablecimiento de contraseña ha sido destacada por usuarios durante al menos dos años (probablemente más).
Una víctima reciente compartió que un ingeniero senior de Apple le aconsejó activar la función de clave de recuperación para su ID de Apple para detener las notificaciones de restablecimiento de contraseña. Sin embargo, en pruebas adicionales, este no fue el caso, y la clave de recuperación de Apple verificada por Krebs en Seguridad no impide las solicitudes de restablecimiento de contraseña.
Relacionado:
Imágenes de 9to5Mac
FTC: utilizamos enlaces de afiliados automotrices para generar ingresos. Más.
