Gli utenti iPhone vengono colpiti da un nuovo tipo di attacco phishing molto sofisticato che sfrutta una vulnerabilità nella reimpostazione della password ID.
Il tema della sicurezza informatica resta centrale al giorno d’oggi. L’attenzione deve rimane alta con un aumento costante degli attacchi hacker, phishing e spionaggio che diventano sempre più sofisticati a fronte di protezioni sempre più avanzate messe a disposizione di aziende privati.
Tra queste misure, l’autenticazione a più fattori (MFA), con la più comune autenticazione a due fattori (2FA), è diventa una misura standard di sicurezza. Nonostante ciò, i criminali informatici trovano sempre nuove vulnerabilità da sfruttare. Alcuni casi recentemente segnalati da utenti Apple evidenziano una vulnerabilità all’interno degli stessi meccanismi progettati per rafforzare la sicurezza delle informazioni sensibili. Si tratta di una tecnica di phishing, denominata “MFA Bombing” o “MFA Fatigue” che sfrutta i meccanismi dell’autenticazione a più fattori (MFA) per sommergere di notifiche l’utente preso di mira, chiedendo l’approvazione per un’azione come la modifica della password dell’ID Apple o un nuovo accesso.
Le vittime, sopraffatte dalla raffica di avvisi e potenzialmente indotte nell’errore da distrazione o dalla necessità di utilizzare il proprio dispositivo, posso arrivare ad autorizzare una di queste richieste lasciando il passo ai criminali. In questo modo, uno strumento di difesa viene trasformato in un vettore di attacco.
In generale il consiglio resta sempre quello di prestare attenzione e di leggere attentamente le notifiche, o i messaggi in altre tipologie di attacco, senza concedere autorizzazioni frettolose o cliccare su link sospetti.
Nel caso di quest’ultima tipologia di attacco, una misura di sicurezza in più potrebbe essere quella di impostare una chiave di recupero per l’ID Apple, generando un codice unico di 28 caratteri. Una volta attivato, modifica il processo di recupero dell’account. Bisogna tener presente però che se si perde la chiave di recupero si rischia di perdere l’accesso all’account in modo permanente. In più, anche questa soluzione non è infallibile.
Un altro consiglio è utilizzare password complesse e di attivare l’autenticazione a due fattori su tutti gli account. Le nuove minacce evidenziano la necessità di una costante attenzione e di una continua formazione sulle migliori pratiche di sicurezza online.