L’MFA Bombing è una sofisticata, quanto fastidiosa, campagna di ingegneria sociale. Le vittime sono gli utenti dei servizi Apple, che vendono pressato sfruttando un presunto bug nel meccanismo di reset della password. La scoperta è del blog Krebs on Security, che ha anche analizzato il fenomeno e chiarito i dettagli di questo attacco.
La richiesta truffaldina della reimpostazione password
L’attacco sfrutta una richiesta autentica di reimpostazione della password inviata da Apple, scatenando un senso di urgenza nei destinatari. Quando un aggressore tenta di reimpostare la password di un ID Apple, il sistema di Apple invia richieste di conferma e autorizzazione a tutti i dispositivi collegati a quell’account, rendendoli temporaneamente inutilizzabili. Questo metodo, diverso dal phishing tradizionale, punta a creare panico nell’utente anziché ad ottenere informazioni personali.
Il trucco consiste nell’invio massiccio di richieste di autorizzazione, sfruttando un presunto bug che inonda il dispositivo di notifiche. Nonostante il fatto che il pop-up di notifica non consenta all’aggressore di prendere il controllo del dispositivo o dell’account, rappresenta un diversivo per generare confusione. A questo punto, l’aggressore contatta telefonicamente la vittima, fingendo di far parte del team di assistenza clienti Apple, per ottenere ulteriori informazioni e convincere l’utente a condividere il codice di autorizzazione alla reimpostazione dell’account.
Una testimonianza su Twitter ha portato l’attenzione su questo problema, evidenziando la necessità di un’azione preventiva in primis proprio da parte di Apple. La società ha suggerito di abilitare la chiave di recupero Apple, un codice di 28 caratteri che impedisce ai malintenzionati di utilizzare la procedura standard di ripristino dell’account. Ma nonostante abbiano attuato questa precauzione, alcuni utenti hanno continuato a ricevere notifiche, suggerendo che il bug potrebbe non essere stato risolto.
Da quello che si è potuto capire del modus operandi degli aggressori, sembra che essi si basino su delle credenziali di accesso precedentemente ottenute da passate violazioni di dati. È fondamentale che gli utenti comprendano che l’unico modo per un aggressore di prendere il controllo dell’account è attraverso il codice di recupero, che non deve essere mai condiviso con terze parti. Informarsi sulle truffe, comprese quelle come il phishing, e mantenere aggiornato il proprio software è essenziale nel connesso mondo contemporaneo.
La Apple e l’impegno per la sicurezza
Questa campagna di ingegneria sociale rappresenta una minaccia seria per gli utenti Apple e sottolinea l’importanza di pratiche di sicurezza informatica valide e di consapevolezza degli utenti. Apple, insieme agli utenti stessi, deve lavorare per identificare e risolvere i bug nel sistema di sicurezza per evitare futuri attacchi di questo tipo.