La autenticación multifactor se considera extremadamente segura porque requiere que el usuario presente al menos dos modos de verificación antes de poder realizar acciones específicas. Por lo general, esto implica aprobar un mensaje enviado a su teléfono o confirmar una contraseña de un solo uso enviada a su número de teléfono. El proceso de restablecer su ID de Apple también requiere un proceso similar: primero debe dirigirse a Portal iForgot de Appleingrese su correo electrónico o número de teléfono, verifique el captcha proporcionado y luego apruebe la solicitud enviada a su dispositivo Apple vinculado.
Esto significa que cualquier persona con acceso a su cuenta de correo electrónico puede, en teoría, iniciar el proceso de restablecimiento de contraseña. El mensaje en su iPhone tiene opciones para «Permitir» o «Rechazar», y al elegir esta última se descartará la solicitud. El ataque de phishing implica bombardear el dispositivo Apple del usuario con decenas y cientos de mensajes de este tipo, y la forma en que Apple maneja las acciones a nivel de cuenta le impedirá usar su dispositivo hasta que haya rechazado manualmente cada solicitud.
A pesar de haber tomado la decisión correcta, Parth afirmó que el estafador lo llamó a lo que parecía ser la línea telefónica oficial de soporte técnico de Apple. El «representante» al otro lado de la línea lo presionó para que verificara una contraseña de un solo uso enviada a su teléfono. Utilizando la información disponible en People Data Labs, el estafador puede verificar los datos personales de la víctima, hasta su dirección particular y fecha de nacimiento.