Algunos usuarios de Apple han informado de ataques de phishing utilizando la función de restablecimiento de contraseña.
Observas un mensaje del sistema en tu iPhone sobre tu contraseña. Haces clic en "No permitir". Luego sucede una y otra vez, uno tras otro. En algún momento, es posible que te molestes o empieces a entrar en pánico y hagas clic en "Permitir".
Luego, recibes una llamada telefónica de un "representante de Apple" para ayudarte a restablecer tu contraseña, pero cuando confirman tu información, te das cuenta de que se equivocaron con tu nombre. Eso es exactamente lo que le pasó a un hombre (sitio en inglés) que tuvo la suerte de darse cuenta de la farsa antes de que fuera demasiado tarde.
Si no se hubiera dado cuenta de que algo andaba mal, le habrían bloqueado el acceso a su cuenta mientras los atacantes accedían a toda su información personal. Este es el objetivo de esta nueva modalidad de ataque de phishing denominada "MFA bombing" o "push bombing".
¿Qué es el bombardeo del MFA?
El bombardeo MFA o push bombing es una nueva técnica de phishing que revela una evolución sofisticada en las tácticas: explota tanto las vulnerabilidades tecnológicas como la psicología humana.
Los atacantes bombardean el sistema con mensajes, inundando el dispositivo del usuario hasta que siente "fatiga de notificaciones". Una vez abrumada, es más probable que la víctima apruebe por error una solicitud maliciosa.
¿Cómo afecta a los usuarios de Apple?
Tras la ráfaga de indicaciones, el usuario recibe una llamada telefónica de alguien que dice ser del soporte técnico de Apple (sitio en inglés). El número de teléfono mostrado puede ser falsificado para que aparezca como el número de soporte oficial de Apple, agregando una capa de legitimidad percibida a la llamada.
Durante esta llamada, el “representante de Apple” informará al usuario que su cuenta está bajo ataque o en riesgo, alimentando la sensación de urgencia y miedo del usuario. Luego, recurrirán al discurso de phishing. Los atacantes afirmarán que para proteger la cuenta, necesitan "verificar" la identidad del usuario o el estado de la cuenta utilizando una contraseña de un solo uso que Apple supuestamente envió al dispositivo del usuario.
Si está convencido, el usuario puede proporcionar la contraseña de un solo uso a la persona que llama. Esta contraseña es una información crítica que, en circunstancias normales, se utiliza para confirmar la identidad del titular de la cuenta durante un proceso legítimo de restablecimiento de contraseña o desbloqueo de cuenta.
Una vez que el atacante obtiene la contraseña de un solo uso, puede completar el proceso de restablecimiento de contraseña. Esto bloquearía efectivamente al usuario legítimo mientras los atacantes acceden al ID de Apple del usuario y a los servicios vinculados.
Cómo proteger tus dispositivos
Para defenderse de este tipo de ataques, es fundamental:
- Recordar hacer clic en "No permitir" para no recibir mensajes que no solicitó. Si notas que estos siguen apareciendo, repórtalos.
- Ser escéptico ante las llamadas no solicitadas que solicitan información confidencial, incluso si parecen provenir de una fuente legítima.
- Siempre verificar la identidad de la persona con la que estás hablando. Si algo no va bien, cuelga y llama al número de soporte oficial que se encuentra en el sitio web de la empresa.
- Utilizar pasos de verificación adicionales, como configurar una clave de recuperación como lo sugiere Apple, para agregar capas adicionales de seguridad a tu cuenta.
Medidas para mitigar los ataques de phishing
A medida que los atacantes perfeccionan sus estrategias, la industria debe adaptar continuamente sus defensas. Para frenar este tipo de ataques, las empresas de tecnología deben revisar el diseño de su sistema, restringiendo la cantidad de solicitudes de contraseña que se pueden realizar.
Además, compartir continuamente información sobre dichas amenazas y contramedidas efectivas en toda la industria es vital para adelantarse a los atacantes. Abordar estos problemas tan pronto como surgen marca una diferencia real: tanto los usuarios como los proveedores de tecnología deben informarlos.
Adaptando nuestras defensas
Si bien las vulnerabilidades específicas y las metodologías de ataque pueden cambiar, debemos seguir trabajando para tomar la delantera. Es esencial mejorar continuamente los sistemas, informar lo que sucede e implementar fuertes medidas de seguridad.