Les malfrats redoublent d’ingéniosité pour créer de nouvelles campagnes d’hameçonnage. L’entrepreneur Parth Patel a été victime d’une nouvelle technique pour le moins originale : les pirates demandent une réinitialisation du mot de passe en multipliant les requêtes. Les personnes ciblées sont alors bombardées d’un flot ininterrompu de notifications incitant à le remettre à 0. L’idée est de pousser les utilisateurs distraits à appuyer sur le mauvais bouton, ou de lasser les plus téméraires jusqu’à ce qu’ils acceptent.
Parth Patel explique avoir reçu tout d’un coup un énorme paquet de notifications l’incitant à remettre à zéro son mot de passe. « Tous mes appareils ont commencé à exploser, ma montre, mon ordinateur portable et mon téléphone », a-t-il déclaré à KrebsOnSecurity. Il précise qu’il s’agit d’une alerte officielle d’Apple, reçue plus d’une centaine de fois. Ce type de notification empêche l’utilisateur d’accéder à son iPhone tant qu’il n’a pas cliqué sur le bouton « Autoriser » ou décliné la démarche.
Si l’entrepreneur a réussi à venir à bout de ce mur de notifications, sa mésaventure n’était pas terminée. Il a peu de temps après reçu un coup de fil de l’Assistance Apple depuis le véritable numéro de Cupertino. Vous vous en doutez, il s’agissait d’une personne usurpant le numéro qui lui a tout de même donné tout un tas d’informations correctes à son sujet. L’arnaqueur a fini par se trahir en séchant sur le nom de son interlocuteur et en réclamant un code à usage unique qu’Apple n’est pas censé demander. L’objectif était de mettre la main sur celui-ci pour changer le mot de passe et supprimer le compte Apple des différents appareils de la victime.
Comment fonctionne l’attaque ? Il semblerait que les malfrats achètent des informations sur leur victime en amont, provenant sans doute d’anciennes fuites. Ils demandent ensuite la réinitialisation du mot de passe via la page dédiée, qui n’exige qu’un mail et un captcha. Il suffit alors d’entrer le numéro de téléphone de la victime (dont les deux derniers chiffres sont affichés) pour envoyer une notification apparaissant sur tous ses appareils.
Il n’est pas clairement expliqué comment les escrocs arrivent à envoyer un fort nombre de notifications, et il semblerait surprenant qu’Apple n’ait pas imposé de limite. On peut imaginer qu’il s’agit d’un bug quelque part. Pour la victime, il peut être facile de cliquer sur le bouton « Autoriser » sans faire attention : il est par exemple nécessaire de faire défiler l’alerte sur une Apple Watch pour afficher l’option « Refuser ». L’arnaque au faux conseiller Apple comme plan B n’est pas sans rappeler une ruse similaire où des malfrats se font passer pour des conseillers bancaires.