Um dos ataques mais recentes ao iPhone mostra partes mal-intencionadas abusando do sistema de redefinição de senha do ID Apple para inundar os usuários com solicitações do iOS para assumir o controle de suas contas. Veja como você pode se proteger contra ataques de redefinição de senha do iPhone (geralmente chamados de “bombardeio MFA”).
Recentemente, ouvimos falar de usuários da Apple sendo alvo de bombardeio MFA (também chamado de fadiga MFA ou push bombing). Não é um ataque novo, mas pode ser um golpe convincente, pois envia solicitações oficiais de redefinição de senha do iOS às vítimas.
Conforme detalhado por Krebs sobre segurança (by way of Parth Patel), os invasores que abusam dessa vulnerabilidade parecem estar fazendo isso por meio do número de telefone de um usuário da Apple, que pode bombardear seu iPhone e outros dispositivos Apple com mais de 100 solicitações do sistema MFA (autenticação multifator) para redefinir a senha do seu ID Apple.
Como se proteger contra ataques de redefinição de senha do iPhone
- Declínio, declínio, declínio
- Como as solicitações de redefinição de senha são um alerta no nível do sistema, parece convincente – mas certifique-se de escolher “Não permita” para todos eles
- Uma forma de os invasores desgastarem as vítimas é bombardeá-las com centenas de avisos, às vezes durante vários dias – proceed escolhendo “Não permita” e opcionalmente use a etapa 3 abaixo
- Observação: se você vir uma solicitação de redefinição de senha na Internet que possa ser um esquema de phishing diferente, feche a página pois qualquer um dos botões pode levar a um hyperlink malicioso
- Não atenda chamadas telefônicas – mesmo que o identificador de chamadas diga “Suporte Apple” ou comparable
- Os invasores estão usando falsificação de chamadas, o que pode fazer com que o número recebido apareça como o número de telefone oficial do suporte da Apple e eles podem verificar informações pessoais, fazendo com que o golpe pareça legítimo
- Em seguida, eles tentam obter de você uma senha única para assumir o controle de sua conta Apple
- Em caso de dúvida, recuse a chamada – e ligue de volta para a Apple (800.275.2273 nos EUA) – a falsificação de chamada não deve ser capaz de interceptar sua chamada de saída para o verdadeiro Apple
- Apple destaca isso não vai fazer chamadas de saída “a menos que o cliente solicite ser contatado” e que você deve nunca compartilhe códigos únicos com ninguém
- Altere temporariamente seu número de telefone associado ao seu ID Apple
- Se você continuar recebendo as solicitações, alterar o número de telefone vinculado ao seu ID Apple deve interrompê-las
- No entanto, tenha em mente isso irá interferir no iMessage e no FaceTime
Mais detalhes
Conforme observado no artigo do Krebs on Safety, parece que há um problema de limite de taxa com o sistema de redefinição de senha do ID Apple.
Que sistema de autenticação bem projetado enviaria dezenas de solicitações de alteração de senha em poucos momentos, quando as primeiras solicitações nem sequer foram atendidas pelo usuário? Isso poderia ser resultado de um bug nos sistemas da Apple?
Esperançosamente, a Apple está trabalhando em uma correção para que partes mal-intencionadas não possam abusar deste sistema. Mas, infelizmente, o golpe de redefinição de senha tem sido destacado pelos usuários há pelo menos dois anos (provavelmente mais).
Uma vítima recente compartilhou que um engenheiro sênior da Apple o aconselhou a ativar o recurso Restoration Key para seu ID Apple para interromper as notificações de redefinição de senha. No entanto, em testes adicionais, esse não foi o caso e a chave de recuperação da Apple verificada por Krebs on Safety não impede solicitações de redefinição de senha.
Relacionado:
Imagens de 9to5Mac
