«Reset password», vi arrivano decine di notifiche? Il nuovo attacco che colpisce gli iPhone
Una serie di notifiche «paralizzano» i dispositivi Apple dell'utente che viene raggirato e convinto a cedere i propri dati e informazioni sensibili
Alcuni utenti Apple, con dispositivi iPhone, Mac e iPad, sono stati e continuano a essere vittime di un sofisticato attacco, definito Push Bombing. Esso consiste in una sequenza frequente di notifiche per la reimpostazione della password. Ad essere colpiti, perlopiù gli iPhone, che diventano inutilizzabili. Ma come funziona questa tecnica? E cosa fare in caso di attacco?
Di recente sono state prese di mira personalità nell'ambito tech e di intelligenza artificiale, i cui dati e informazioni sensibili possono essere preziosi per i malintenzionati. Un attacco dunque mirato a persone le cui informazioni di contatto erano in qualche modo reperibili in Rete. La prima vittima dell'attacco che ne ha documentato ogni passaggio è l'utente su X, Parth Patel, imprenditore attivo nell'ambito dell' IA generativa. Una volta fallito l'attacco ai suoi danni, ne ha denunciato sul social le modalità per mettere in guardia altri utenti. Lo scopo degli attaccanti era quello di sottrarre il suo ID Apple attraverso la tecnica del phishing, perpetrata questa volta con maggior precisione.
La tecnica studiata al dettaglio
Stando a quanto riportato dall'utente, i malfattori hanno reperito i suoi dati Osint (Open Source INTelligence), ovvero informazioni raccolte da fonti accessibili pubblicamente; siti Web, social media o altre risorse, possono infatti essere un ricettacolo di informazioni, in particolar modo sensibili, specie se si è come nel caso di Patel, fondatori di qualche realtà digitale o attivi nell'IA.
Una volta ottenute le informazioni dell'utente, tutti i suoi dispositivi Apple hanno mostrato una notifica di richiesta di reimpostazione password. Trattandosi di avvisi di sistema, non consentono di utilizzare il dispositivo su cui queste notifiche appaiono. Basterebbe fare tap su «Non consentire» per poter tornare ad utilizzare i device: ma la vittima è stata letteralmente bombardata di notifiche (da qui il nome dell'attacco Push Bombing). Secondo l'utente che ne ha denunciato per prima la modalità, le notifiche di reimpostazione password sono state più di 100.
La seconda parte dell'attacco
Pochi minuti dopo, gli attaccanti hanno utilizzato la tecnica dello spoofing dell'Id chiamante. Spiegato in parole semplici, i malintenzionati hanno utilizzato uno strumento che consente di replicare un numero di telefono ufficiale, pur non utilizzandolo nella realtà. Con questi software, gli hacker riescono a mascherare il proprio numero di telefono con un numero apparentemente attendibile. Nel caso di Patel, è stato utilizzato un numero della linea telefonica ufficiale del supporto Apple. Questa tecnica è utile per conquistare la fiducia della vittima e sottrarre informazioni sensibili. I malviventi hanno raccolto molte informazioni su Patel. Data di nascita, indirizzo email, numero di telefono, indirizzo di abitazione e precedenti; insomma, un attacco preciso, mirato e sofisticato. Ma quale informazioni volevano da Parth?
Non condividere l'OTP con nessuno!
L'autenticazione a due fattori invia un codice di breve durata e che si genera di volta in volta. Questo può essere recapitato per email, Sms, o distribuito da app come Authenticator. Le aziende sono sempre molto chiare in questi messaggi: il codice non va condiviso mai con nessuno. Disporre di questo codice, concede l'accesso completo ad un determinato account, perché potrà consentire il cambio di password, indirizzo email e tutte le altre informazioni, tali per cui è possibile perdere l'accesso completo al proprio account e a tutto il materiale ad esso connesso, come foto, documenti e quant'altro.
Gli Sms sono chiari: non bisogna condividere il codice con nessuno
Ovviamente gli hacker che hanno progettato questo attacco sofisticato, volevano proprio il codice Otp e hanno telefonato a Patel per convincerlo a comunicarglielo. Il Push Bombing chiedeva la reimpostazione della password in oltre 100 notifiche. Premere per sbaglio (o volutamente) avrebbe fatto pervenire un codice Otp per reimpostarla. Comunicare il codice agli autori dell'attacco, avrebbe consentito loro di sottrarre l'account alla vittima.
Come difendersi dall'attacco
Come quasi ogni attacco di questo tipo, la tecnica alla base è quella del phishing. Deriva dal verbo inglese «pescare», perché gli hacker in genere gettano un'esca, ma con maggior portata, nella speranza che qualcuno «abbocchi». Ma questo attacco è completamente diverso, perché è mirato e utilizza più tecniche: il phishing, tecniche di social engineering e lo spoofing. Queste tre modalità cercano di instillare fiducia nella vittima, convincendola si tratti di canali autentici. Il fine è sempre il solito: sottrarre account con preziosi dati al suo interno.
In questo caso viene anche sfruttata una presunta falla nel sistema di sicurezza di Apple. Con l'invio massivo di queste notifiche che rendono tutti i dispositivi inutilizzabili, «paralizzano» i device dell'utente che dovrà ogni volta negare le richieste di reimpostazione della password, con la possibilità di premere «Consenti» per sbaglio e ricevere il codice Otp. Comunicarlo per sbaglio, rischia di compromettere la sicurezza dei propri dati ed essere estromessi dal proprio account.