Usuarios de iPhone han sido objetivo de ataques de fatiga hacia los sistemas de autenticación multifactor (MFA, por sus siglas en inglés) de sus teléfonos, una campaña en la que los ciberdelincuentes también han introducido 'vishing' para acceder a permisos del sistema.
Un ataque de fatiga MFA, también conocido como Push Bombing o 'bombardeo MFA' es una táctica, técnica y procedimiento de ataque (TTP) en la que un actor malicioso envía constantemente notificaciones 'push' con solicitudes de autenticación multifactor -por ejemplo, el restablecimiento de la contraseña- haciéndose pasar por el sistema.
Ante tal avalancha de alertas, los usuarios pueden terminar autorizando permisos y accesos a cierta información sin darse cuenta de que en realidad son los ciberdelincuentes quienes se encargan de proceder a este bombardeo de mensajes, logrando así el objetivo de los actores maliciosos.
En cuanto al 'vishing', se trata de un ataque de ingeniería social que consiste en realizar 'phishing' de voz. En estas estafas telefónicas los actores maliciosos se hacen pasar por el equipo de soporte de un servicio. Por ejemplo, de la marca del dispositivo vulnerado.
Brian Krebs, de la firma de ciberseguridad Krebs on Security, ha compartido en su blog el descubrimiento de una nueva campaña maliciosa que combina ambas técnicas y que está dirigida móviles iPhone, tal y como ha concretado en una publicación.
Uno de los casos que ha expuesto el periodista es el de Parth Patel, un empresario que se ha visto inmerso en un ataque de este tipo y que primero recibió notificaciones recurrentes para cambiar su contraseña ID de Apple. Tras pulsar sobre el botón 'No permitir' en diferentes ocasiones, recibió una llamada telefónica en la que se suplantó el identificador de llamadas de la línea telefónica oficial de soporte de la tecnológica.
Antes de responder a las preguntas del presunto soporte de la marca, Patel primero pidió a la persona que estaba al otro lado del teléfono que especificara información sobre él. Entonces, le indicó su fecha de nacimiento, el correo electrónico o la dirección actual de su domicilio.
Sin embargo, cuando Patel solicitó la confirmación del nombre de su cuenta de Apple, el atacante le dijo un nombre que no era el suyo. Entonces, cayó en que éste formaba parte de un informe de antecedentes en el que se incluía esta información y que estaba en un repositorio de PeopleDataLabs.
Además de esta evidencia, supo que estaba siendo víctima de 'vishing' cuando se le solicitó una contraseña de un solo uso de restablecimiento de la ID de Apple, a pesar de que el mensaje enviado instaba a no compartrir la clave «con nadie».
"Si el usuario proporciona este código de un solo uso, los atacantes pueden restablecer la contraseña de la cuenta y bloquear al usuario. Luego, pueden también borrar de forma remota todos los dispositivos Apple del usuario", ha comentado Krebs en la publicación.
El periodista ha compartido también este documento otros casos de ataques de fatiga MFA dirigidos a más usuarios, en los cuales los ciberdelincuentes llevaron a cabo el mismo 'modus operandi'.