MADRID, 28 de marzo (Portaltic/EP) –
Usuarios de iPhone han sido blanco de ataques de fatiga a los sistemas de autenticación multifactor (MFA) de sus teléfonos, una campaña en la que los ciberdelincuentes también han introducido el ‘vishing’ para acceder a los permisos del sistema.
Un ataque de fatiga Ministerio de Asuntos Exteriorestambién conocido como Bombardeo de empuje o ‘bombardeo MFA’ es una táctica, técnica y procedimiento de ataque (TTP) en el que un actor malicioso envía constantemente notificaciones ‘push’ con solicitudes de autenticación multifactor (por ejemplo, restablecimiento de contraseña) haciéndose pasar por el sistema.
Ante tal avalancha de alertas, los usuarios pueden acabar autorizando permisos y acceso a determinada información sin darse cuenta de que en realidad son los ciberdelincuentes los encargados de proceder con este bombardeo de mensajes, logrando así el objetivo de los actores maliciosos.
En cuanto al ‘vishing’, se trata de un ataque de ingeniería social que consiste en realizar ‘phishing’ de voz. En estas estafas telefónicas, los actores maliciosos se hacen pasar por el equipo de soporte de un servicio. Por ejemplo, la marca del dispositivo vulnerado.
Brian Krebs, de la firma de ciberseguridad Krebs on Security, ha compartido en su blog el descubrimiento de una nueva campaña maliciosa que combina ambas técnicas y que tiene como objetivo móviles iPhone, tal y como especifica en una publicación.
Uno de los casos que ha expuesto el periodista es el de Parth Patel, un empresario que se ha visto inmerso en un ataque de este tipo y que recibió por primera vez notificaciones recurrentes para cambiar su contraseña. ID de apple. Tras pulsar en varias ocasiones el botón ‘No permitir’, recibió una llamada telefónica en la que se suplantaba el identificador de llamadas de la línea telefónica oficial de soporte de la empresa tecnológica.
Antes de responder preguntas sobre el supuesto apoyo a la marca, https://twitter.com/parth220_/status/1771589789143478471 Primero le pidió a la persona al otro lado del teléfono que especificara información sobre él. Luego le dijo su fecha de nacimiento, correo electrónico o dirección actual.
Sin embargo, cuando Patel pidió confirmación del nombre de su cuenta de Apple, el atacante le dijo un nombre que no era el suyo. Entonces se dio cuenta de que esto era parte de un informe de antecedentes que incluía esta información y que estaba en un repositorio de PeopleDataLabs.
Además de esta evidencia, se enteró de que había sido víctima de “vishing” cuando se le pidió que restableciera la contraseña de ID de Apple por única vez, a pesar de que el mensaje enviado le instaba a no compartir la clave “con nadie”.
“Si el usuario proporciona este código de un solo uso, los atacantes pueden restablecer la contraseña de la cuenta y bloquear al usuario. Entonces, también pueden borrar remotamente todos los dispositivos Apple del usuario”, comentó Krebs en la publicación.
El periodista también ha compartido este documento con otros casos de ataques de fatiga MFA dirigidos a más usuarios, en los que los ciberdelincuentes llevaron a cabo el mismo ‘modus operandi’.
