Kevin Purdy
Las debilidades humanas son un blanco rico para los ataques de phishing. Hacer que los humanos hagan clic en «No permitir» una y otra vez en un mensaje telefónico que no se puede omitir es un ángulo que están adoptando algunos atacantes de iCloud y que probablemente tengan cierto éxito.
Brian Krebs de Krebs on Security detalló los ataques en una publicación reciente, señalando que los «ataques de fatiga MFA» son una estrategia de ataque conocida. Al atacar repetidamente el dispositivo de una víctima potencial con solicitudes de autenticación multifactor, el ataque llena la pantalla del dispositivo con mensajes que normalmente tienen opciones de sí/no, a menudo muy juntas. Los dispositivos de Apple son sólo el último objetivo rico de esta técnica.
Se sabe que tanto el grupo de amenaza persistente avanzada Fancy Bear, respaldado por el Kremlin, como un grupo heterogéneo de adolescentes conocido como Lapsus$ han utilizado con éxito la técnica, también conocida como bombardeo rápido de MFA.
Si el propietario del dispositivo está molesto por el sonido repentino o la avalancha de notificaciones (que esencialmente bloquean el acceso a otras funciones del teléfono) o simplemente considera el mensaje demasiado rápido y se ha entrenado para hacer clic en «Sí»/»Permitir» en la mayoría de los demás mensajes, puede hacer clic en «Permitir» y dar a los atacantes el acceso que necesitan. O, al tener que descartar tantas indicaciones, su pulgar o dedo simplemente podrían golpear el píxel equivocado y accidentalmente dejar entrar a los malos.
Parth Patel, fundador de una startup de inteligencia artificial, detalló un ataque a sí mismo el 22 de marzo en un hilo en X (anteriormente Twitter). Parth dijo que su teléfono, reloj y computadora portátil Apple recibieron «más de 100 notificaciones» solicitando usar esos dispositivos para restablecer su contraseña de Apple. Dada la naturaleza del aviso, no se pueden ignorar ni descartar hasta que se actúe en consecuencia, prácticamente bloqueando los dispositivos.
Después de descartar las alertas, Parth recibió una llamada que fue falsificada para que pareciera que provenía de la línea de soporte oficial de Apple. Parth les pidió que validaran la información sobre él, y las personas que llamaron tenían disponibles su fecha de nacimiento, correo electrónico, dirección actual y direcciones anteriores. Pero Parth, que se había interrogado previamente en sitios de búsqueda de personas, descubrió que la persona que llamaba usaba uno de los nombres frecuentemente relacionados en sus informes. La persona que llamó también solicitó un código de ID de Apple enviado por SMS, del tipo que sigue explícitamente con «No lo compartas con nadie».
Otro objetivo le dijo a Krebs que recibió notificaciones de reinicio durante varios días y luego también recibió una llamada supuestamente del soporte de Apple. Después de que el objetivo hizo lo correcto (colgó y volvió a llamar a Apple), como era de esperar, Apple no tenía constancia de un problema de soporte. El objetivo le dijo a Krebs que cambió su iPhone y abrió una nueva cuenta de iCloud, pero aún así recibió solicitudes de contraseña mientras estaba en la Apple Store para comprar su nuevo iPhone.
No es el primer encuentro de Apple con la limitación de tasas
De estos cuentos, así como de otros detallados en el sitio de Krebs, está claro que el esquema de restablecimiento de contraseña de Apple necesita limitación de velocidad o alguna otra forma de control de acceso. También vale la pena señalar que MFA compatible con FIDO es inmune a este tipo de ataques.
Solo necesita un número de teléfono, un correo electrónico (para el cual Apple proporciona las primeras letras, a cada lado de la «@») y completar un CAPTCHA corto para enviar la notificación. Y no es exagerado decir que no se puede hacer mucho en un iPhone cuando el mensaje está presente, después de haber intentado acceder a cualquier otra aplicación cuando me presioné un mensaje de reinicio. Logré enviar tres mensajes en unos minutos, aunque en un momento, un mensaje me bloqueó y me dijo que había un error. Cambié a otro navegador y seguí enviando spam sin problemas.
Como lo señaló una de las fuentes de Krebs y lo confirmó Ars, recibir el mensaje en un Apple Watch (o al menos en algunos tamaños de Apple Watch) significa solo ver un botón «Permitir» para tocar y solo una pista de un botón debajo antes. desplazándote hacia abajo para tocar «No permitir».
Ars se comunicó con Apple para comentar sobre el problema y actualizará esta publicación con cualquier información nueva. Apple tiene un artículo de soporte sobre mensajes de phishing y llamadas de soporte falsas, señalando que cualquier persona que reciba una llamada telefónica sospechosa o no solicitada de Apple debe «simplemente colgar» e informarlo a la FTC o a la policía local.
Apple ya ha abordado ataques similares a los de denegación de servicio en AirDrop. Kishan Bagaria, creador de texts.com, detalló una forma en la que el sistema de intercambio de dispositivo a dispositivo de Apple podría verse abrumado con solicitudes de uso compartido de AirDrop. Posteriormente, Apple solucionó el error en iOS 13.3 y agradeció a Bagaria por su descubrimiento. Ahora, cuando un dispositivo Apple rechaza una solicitud de AirDrop tres veces, bloqueará automáticamente dichas solicitudes en el futuro.
El consejo esencial del proveedor de seguridad BeyondTrust para prevenir ataques de fatiga MFA implica limitar el número de intentos de autenticación en un período de tiempo, bloquear el acceso después de intentos fallidos, agregar requisitos biométricos o de geolocalización, aumentar los factores de acceso y marcar intentos de gran volumen.
Esta publicación se actualizó para incluir un artículo de soporte de Apple sobre llamadas de phishing.
Imagen de listado de Kevin Purdy