¿Qué sucede durante una ataque
- Lo que sucede es que los dispositivos de destino se ven obligados a mostrar docenas de mensajes a nivel del sistema (básicamente advertencias MFA enviadas por la función Olvidé mi contraseña de Apple) que impiden que el dispositivo de destino funcione hasta que un usuario elija Permitir o No permitir en esos mensajes.
- Una vez que el objetivo rechaza todas esas solicitudes, recibirá una llamada telefónica de un número que parece soporte técnico de Apple y se le advertirá que el usuario está bajo ataque y debe verificar un código de un solo uso.
- El objetivo del ataque es activar un código de restablecimiento de ID de Apple que se enviará al dispositivo objetivo y luego lograr que el usuario comparta ese código por teléfono.
- Si alguna vez recibe dicho código, verá que junto con él se le enviará una advertencia para que no lo comparta con nadie más.
- Pero esta es la razón por la que los atacantes trabajan tan duro para parecer convincentes, porque si un objetivo entrega el código, el atacante inmediatamente tomará el ID de Apple del usuario y lo bloqueará.
- Luego obtienen acceso a todos los datos y servicios protegidos por su ID de Apple y pueden borrar de forma remota todos sus dispositivos Apple.
Estos son ataques sofisticados
Es fundamental para comprender la naturaleza de este ataque saber que si usted es el objetivo de él, probablemente ya haya sido seleccionado como objetivo del ataque. Se trata de intentos relativamente organizados y quienquiera que esté detrás de un ataque ya tendrá investigado para obtener algunos detalles sobre la víctima.
Esto se debe a que necesitan tener la dirección de correo electrónico y el número de teléfono asociados con su ID de Apple. Esos detalles pueden provenir de intermediarios de datos y sitios web de búsqueda de personas, como PeopleDataLabs, KrebsOnSecurity sugirió a principios de esta semana.
Los atacantes deben haber obtenido información sobre el objetivo para parecer genuino en la importante llamada telefónica durante la cual engañan al objetivo para que comparta el código de reinicio. En otras palabras, se trata de ataques planificados y altamente tácticos en los que los piratas informáticos han recopilado grandes cantidades de datos personales.
Michael Covington, vicepresidente de estrategia de cartera de Jamf, lo expresa de esta manera: “El bombardeo de MFA presenta un desafío para cualquier usuario objetivo, ya que se ve obligado a examinar una avalancha de notificaciones con el temor de ser victimizado aún más si se comete un solo error.
«Sin embargo, lo que no se dan cuenta es que este ataque suele ir precedido de un compromiso exitoso de las credenciales del usuario, lo que permite que un pirata informático inicie el proceso de inicio de sesión».
Jamf advirtió recientemente que muchas empresas que utilizan Apple están todavía objetivos fáciles para tales intentos.