Recentemente, alcuni utenti Apple sembrano essere diventati vittime di un attacco sofisticato che richiede loro di fornire ripetutamente le credenziali del proprio Apple ID.
Secondo quanto riportato da KrebsonSecurity, l'attacco inizia con i proprietari di dispositivi Apple che ricevono numerosi messaggi a livello di sistema che li invitano a reimpostare la password del loro Apple ID. Nel caso in cui questo tentativo fallisca, una persona che si spaccia per un dipendente Apple chiama la vittima e cerca di convincerla a fornire la propria password.
Un esempio concreto di questa situazione è stato condiviso dall'imprenditore Parth Patel su Twitter/X. Inizialmente, tutti i dispositivi Apple di Patel, compresi iPhone, Watch e MacBook, hanno cominciato a mostrare notifiche di "Reimposta password". Dopo che Patel ha rifiutato più di cento richieste, ha ricevuto una chiamata da un falso supporto Apple che contraffaceva l'ID chiamante della linea ufficiale di supporto Apple. Nonostante il falso dipendente Apple conoscesse diverse informazioni reali di Patel, come l'email, l'indirizzo e il numero di telefono, ha commesso l'errore di sbagliare il nome, confermando così i sospetti riguardo all'attacco subito.
Last night, I was targeted for a sophisticated phishing attack on my Apple ID.
— parth (@parth220) March 23, 2024
This was a high effort concentrated attempt at me.
Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.
🧵 Here’s how it went down:
Anche se in questo caso l'attacco non è riuscito, è plausibile che possa funzionare con utenti meo atteti. La vittima potrebbe, per esempio, accidentalmente permettere il reset della password o cadere nell'inganno di una chiamata di supporto Apple falsa, ma convincente.
L'esempio di Patel non è un caso isolato; KrebsonSecurity ha riportato dettagli su un attacco molto simile subito da un proprietario di un hedge fund crittografico identificato con il nome Chris, così come da un ricercatore di sicurezza identificato come Ken. In entrambi i casi, l'attacco è durato diversi giorni e si è concluso con una chiamata di supporto Apple fasulla.
Come gli attaccanti abbiano ottenuto tutte le informazioni necessarie e come siano riusciti a inviare avvisi a livello di sistema ai telefoni delle vittime è ancora oggetto di speculazione. Gli hacker hanno probabilmente ottenuto l'indirizzo email e il numero di telefono associati all'Apple ID della vittima. Successivamente, hanno utilizzato un modulo di reimpostazione password di Apple ID, che richiede l'email o il numero di telefono associati all'account, insieme a un CAPTCHA, per inviare le richieste di reset della password. È probabile che abbiano anche sfruttato un sito web chiamato PeopleDataLabs per ottenere informazioni sia sulla vittima che sugli impiegati Apple che hanno impersonato.
È possibile anche che ci sia un bug nei sistemi di Apple che ha permesso agli hacker di abusare del modulo di reimpostazione password e inviare numerose richieste in breve tempo, tuttavia Apple non ha ancora commentato su questa eventualità.
Attualmente, sembra che non ci sia un modo facile o infallibile per proteggersi da questo tipo di attacco, se non cambiare le proprie credenziali Apple ID e associarle a un nuovo numero ed email. Non è ancora chiaro quanto diffuso sia questo tipo di attacco, quindi gli utenti Apple sono invitati a essere vigili e a verificare attentamente l'autenticità di qualsiasi richiesta di reset della password, anche se sembra provenire direttamente da Apple.