© Copyright 2020 Faq-mac.
iPhone

iPhone en peligro: nuevo ciberataque bloquea dispositivos Apple

25 junio, 20245 Minutos de lectura

¿Tienes un iPhone? ¡Cuidado! Se ha detectado un nuevo tipo de ataque de phishing llamado MFA bombing. Los ciberdelincuentes envían a tu teléfono móvil notificaciones informando sobre un error en la función de restablecimiento de contraseña de Apple y, de esta forma, abusan de una característica o debilidad de una autenticación multifactor (MFA).

Así, bloquean los dispositivos Apple hasta que el destinatario responda “Permitir” o “No permitir” a cada mensaje. Los atacantes llaman a la víctima haciéndose pasar por el soporte de Apple con el objetivo de “verificar” un código de un solo uso y así acceder a las cuentas vinculadas.

El MFA Bombing (también conocido como MFA Fatigue o Push Notification Attack) es una técnica de ataque en la que un atacante abusa de las notificaciones de múltiples factores de autenticación (MFA, por sus siglas en inglés: Multi-Factor Authentication) para engañar o fatigar a un usuario legítimo y lograr el acceso a su cuenta.

¿Cómo Funciona el MFA Bombing?

  1. Robo de Credenciales: El atacante obtiene las credenciales (nombre de usuario y contraseña) de la víctima, a menudo a través de técnicas de phishing, brechas de datos o ataques de fuerza bruta.
  2. Inundación de Solicitudes MFA: Usando estas credenciales, el atacante intenta acceder a la cuenta de la víctima, lo que provoca el envío de múltiples solicitudes de autenticación (como notificaciones push en un dispositivo móvil, códigos de verificación, etc.) al usuario legítimo.
  3. Fatiga o Error del Usuario: La víctima, al recibir una avalancha de notificaciones, puede cansarse o confundirse. Esto puede llevarla a aprobar una de las solicitudes simplemente para detener la molestia, o por error, permitiendo al atacante acceder a la cuenta.

Cómo Reconocer el MFA Bombing

Reconocer un ataque de MFA Bombing implica estar alerta a ciertas señales y comportamientos inusuales:

Trending
BenQ DC2410. Capture cada momento de su vida.

  1. Frecuencia Inusualmente Alta de Solicitudes MFA:
  • Recibir múltiples notificaciones de autenticación que no has solicitado.
  • Notificaciones de MFA en momentos en que no estás intentando acceder a la cuenta.
  1. Inicios de Sesión desde Ubicaciones o Dispositivos Inusuales:
  • Notificaciones que indican intentos de inicio de sesión desde ubicaciones geográficas o dispositivos desconocidos.
  1. Alertas o Mensajes de Seguridad:
  • Mensajes o alertas de tu proveedor de MFA indicando actividad sospechosa o intentos de inicio de sesión no autorizados.
  1. Comportamiento No Solicitado en tu Cuenta:
  • Cambios inesperados en la configuración de seguridad de tu cuenta.
  • Intentos de cambio de contraseña o configuración de autenticación no solicitados.

Cómo Protegerse del MFA Bombing

  1. Educación y Conciencia:
  • Capacitación sobre Seguridad: Educa a los usuarios sobre el MFA Bombing y cómo reconocer intentos de autenticación no solicitados.
  • Notificaciones Verificadas: Asegúrate de que los usuarios comprendan la importancia de verificar cada solicitud de MFA antes de aprobarla.
  1. Implementación de Métodos MFA Más Seguros:
  • FIDO2 o Autenticación Sin Contraseña: Usa métodos de autenticación más seguros que no se basan en notificaciones push o SMS.
  • Aplicaciones de Autenticación: Prefiere aplicaciones de autenticación (como Google Authenticator o Authy) en lugar de SMS o llamadas telefónicas, que son más fáciles de comprometer.
  1. Configuración de Alertas y Notificaciones:
  • Alertas de Actividad Sospechosa: Configura alertas para detectar y notificar intentos de acceso sospechosos.
  • Monitoreo de Ubicación: Utiliza herramientas que permitan monitorear y verificar la ubicación geográfica de los intentos de inicio de sesión.
  1. Políticas de Seguridad Rigurosas:
  • Restricciones de Acceso Basadas en Contexto: Implementa políticas que restrinjan el acceso basado en el contexto, como la ubicación, el dispositivo o la hora del día.
  • Requerir Aprobación Adicional: En casos de múltiples intentos fallidos de MFA, requiere pasos de verificación adicionales antes de permitir el acceso.

El MFA Bombing es una técnica que explota la naturaleza humana de error y fatiga. La combinación de educación adecuada, tecnología avanzada y políticas de seguridad estrictas es crucial para mitigar este tipo de ataque.

Verificar la autenticidad de un número de teléfono que te llama puede ser crucial para protegerte de estafas y fraudes telefónicos. A continuación, te presento varias estrategias y herramientas que puedes utilizar para determinar si un número es legítimo o potencialmente fraudulento:

Métodos para verificar la autenticidad de un número de teléfono

  1. Búsqueda en motores de búsqueda:
  • Google o Bing: Introduce el número en un motor de búsqueda. Muchas veces, los números utilizados en fraudes aparecen en bases de datos de quejas y sitios de denuncia de spam.
  • Sitios de Denuncia de Números: Hay sitios especializados como WhoCallsMe, 800notes, o SpamCalls donde los usuarios reportan números sospechosos. Si el número aparece en estos sitios, es una señal de alerta.
  1. Contactar directamente a la empresa:
  • Si recibes una llamada de una empresa, cuelga y busca el número oficial de la empresa en su sitio web o en documentación confiable. Llama directamente a ese número para confirmar si realmente intentaron contactarte.
  1. Revisar la localización del número:
  • Códigos de Área y Prefijos: Verifica si el código de área o prefijo del número es coherente con la localización de la empresa o individuo que se supone te está llamando.
  • Aplicaciones y Servicios de Localización: Herramientas como Whitepages pueden proporcionar información sobre la localización geográfica de un número.
  1. Análisis del comportamiento de la llamada:
  • Duración del timbre: Las llamadas fraudulentas a menudo cuelgan rápidamente si no son respondidas de inmediato.
  • Contenido de la llamada: Evalúa el contenido de la llamada. Las llamadas legítimas rara vez te pedirán información personal sensible inmediatamente o te amenazarán con consecuencias inmediatas.
  1. Revisar en Redes Sociales:
  • Busca el número en redes sociales como Facebook o LinkedIn. A veces, los números están vinculados a perfiles personales o profesionales que pueden ayudarte a verificar su autenticidad.
  1. Contactar a tu proveedor de servicios:
  • Reporte de Números: Muchos proveedores de servicios telefónicos tienen sistemas para reportar y verificar números sospechosos. Ellos pueden proporcionarte información adicional o ayudarte a bloquear el número.

Señales de alerta comunes en llamadas fraudulentas

  1. Solicitudes de información personal o financiera:
  • Desconfía si te piden información personal o financiera sin una razón clara. Ninguna institución legítima debería pedir tu número de cuenta o PIN por teléfono sin una previa verificación de identidad.
  1. Presión para actuar rápidamente:
  • Los estafadores a menudo crean un sentido de urgencia para evitar que pienses demasiado en lo que estás haciendo. Frases como “actúe ahora” o “su cuenta será cerrada si no responde inmediatamente” son comunes en fraudes.
  1. Ofertas demasiado buenas para ser verdaderas:
  • Ofertas de premios, loterías ganadas sin haber participado, o propuestas financieras increíblemente favorables suelen ser estafas.
  1. Identificación de llamadas falsa o desconocida:
  • Si el número aparece como desconocido o bloqueado, y no esperabas una llamada, es mejor no contestar.
  1. Mensajes automatizados:
  • Las llamadas que empiezan con un mensaje grabado (robocalls) suelen ser de estafadores. Las empresas legítimas generalmente utilizan operadores humanos.

Estrategias para protegerte

  1. No responder llamadas de números desconocidos:
  • Si no reconoces el número, considera dejar que la llamada vaya al buzón de voz. Los llamantes legítimos suelen dejar un mensaje.
  1. Verificación de Seguridad:
  • Solicita información adicional para verificar la identidad del llamante. Pregunta por detalles que solo una empresa legítima sabría (como el motivo específico de la llamada).
  1. Uso defunciones de bloqueo en tu teléfono:
  • La mayoría de los teléfonos inteligentes tienen funciones para bloquear números específicos. Utiliza estas funciones para prevenir llamadas repetidas de números sospechosos.
  1. Inscribirse en Listas de No Llamar:
  • En algunos países, inscribirse en una lista de “No Llamar” puede ayudar a reducir la cantidad de llamadas de telemarketing.

Verificar un número de teléfono implica una combinación de vigilancia, uso de herramientas y aplicaciones disponibles, y sentido común. La clave es no apresurarse a proporcionar información personal o financiera y siempre buscar formas de confirmar la autenticidad del llamante.

Artículo anterior Nuevo EOS R100 kit de fotografía para principiantes
Alf

Propietario de www.faq-mac.com.

5 2 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios

Artículos relacionados

iCloudiOSiPadiPhone

Cómo eliminar el bloqueo de activación en un dispositivo Apple

27 junio, 2024
iPadiPhone

“Antstream Arcade” con más de 1300 juegos retro se lanzará para iPhone y iPad

24 junio, 2024
iPadiPhoneMac

“Resident Evil 7: Biohazard” llegará a iPad, iPhone y Mac

11 junio, 2024
iPadiPhone

Assassin’s Creed Mirage en camino al iPhone 15 Pro y iPads con chip M1 o posteriores

7 junio, 2024
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x