يستهدف المهاجمون مستخدمي Apple iPhone بسلسلة من الهجمات هجمات تفجير وزارة الخارجية الذين يستخدمون سلسلة لا هوادة فيها من تنبيهات إشعارات إعادة تعيين كلمة المرور المشروعة فيما يبدو أنه محاولة للاستيلاء على حساباتهم على iCloud. وقد ركز هذا النشاط الانتباه على الطبيعة المتطورة لما يسمى بهجمات التفجيرات متعددة العوامل (MFA).
سلط تقرير صادر عن موقع أمن المعلومات KrebsOnSecurity الضوء لأول مرة على الحملة التي تستهدف المديرين التنفيذيين في مجال الأعمال والتكنولوجيا. ونقل التقرير عن العديد من الأفراد الذين تعرضوا لهذه الحوادث مؤخرًا. وقال عدد قليل منهم أنهم حتى تلقى مكالمات هاتفية "التصيد الاحتيالي". من أفراد يزعمون أنهم من موظفي دعم Apple باستخدام رقم ينتحل خط دعم العملاء الرسمي لشركة Apple.
وفي محادثات مع Dark Reading، تعمق الباحثون في النشاط، وسلطوا الضوء على أساليب التفجير الجديدة المستخدمة في الحملة.
إعادة تعيين كلمة المرور الفيضانات
يبدو أن عملية إعادة تعيين كلمة المرور والمكالمات الهاتفية كانت محاولة مستهدفة للغاية لخداع الضحايا لاستخدام أجهزة Apple الخاصة بهم لإعادة تعيين معرف Apple الخاص بهم. أفاد أحد الضحايا الذين تعاملوا مع موظفي دعم عملاء Apple المفترضين عن دهشتهم من "دقيقة تماماالمعلومات التي يبدو أن المهاجمين حصلوا عليها عنه أثناء محاولته التحقق من مصداقيتها.
وفي حالة أخرى، أبلغ أحد الأشخاص عن استمرار دفع الإشعارات بلا هوادة حتى بعد قيامه بتبديل هاتفه القديم بجهاز iPhone جديد، وتغيير عنوان بريده الإلكتروني، وإنشاء حساب iCloud جديد تمامًا. وروى ضحية أخرى تلقي طلبات إعادة تعيين كلمة المرور حتى بعد تمكين استرداد مفتاح للحصول على معرف Apple الخاص بهم بناءً على طلب أحد مهندسي دعم Apple. وقد روجت شركة Apple للمفتاح - وهو ميزة اختيارية - باعتباره يساعد المستخدمين على تأمين حساباتهم بشكل أفضل وإيقاف تشغيل عمليات استرداد كلمة المرور القياسية من Apple.
أثارت قدرة المهاجم الواضحة على إرسال العشرات من طلبات إعادة التعيين في فترة زمنية قصيرة بعض الأسئلة حول خلل محتمل في آلية إعادة تعيين كلمة المرور الخاصة بشركة Apple لحسابات iCloud، مثل مشكلة "حد المعدل" المحتملة التي تسمح بشكل غير صحيح بوحدات تخزين على مستوى البريد العشوائي من طلبات إعادة التعيين.
ولم تؤكد شركة أبل أو تنفي الهجمات المبلغ عنها. كما أنها لم ترد على سؤال Dark Reading حول ما إذا كان المهاجمون قد استفادوا من خطأ لم يتم الكشف عنه في ميزة إعادة تعيين كلمة المرور الخاصة بالشركة. وبدلاً من ذلك، أشار متحدث باسم الشركة إلى مقال دعم نشرته شركة Apple في 23 فبراير يقدم نصائح للعملاء حول كيفية اكتشاف و تجنب رسائل التصيد الاحتيالي ومكالمات الدعم الزائفة وعمليات الاحتيال الأخرى.
وسلط المتحدث الضوء على أقسام المقالة المتعلقة بالمهاجمين الذين يستخدمون أحيانًا معلومات معرف المتصل المزيفة لانتحال أرقام الهواتف وغالبًا ما يزعمون وجود نشاط مشبوه على حساب أو جهاز لدفع المستخدمين إلى اتخاذ بعض الإجراءات غير المرغوب فيها. وأشارت النصيحة إلى أنه "إذا تلقيت مكالمة هاتفية غير مرغوب فيها أو مشبوهة من شخص يدعي أنه من Apple أو دعم Apple، فما عليك سوى إنهاء المكالمة".
قصف وزارة الخارجية: تكتيك إلكتروني متطور
هجمات القصف متعددة العوامل - المعروفة أيضًا باسم هجمات الإرهاق متعددة العوامل - هي عبارة عن هجمات قصف متعددة العوامل استغلال الهندسة الاجتماعية حيث يقوم المهاجمون بإغراق هاتف الهدف أو جهاز الكمبيوتر أو حساب البريد الإلكتروني الخاص به بإشعارات الدفع للموافقة على تسجيل الدخول أو إعادة تعيين كلمة المرور. الفكرة وراء هذه الهجمات هي تطغى على الهدف مع وجود العديد من طلبات المصادقة ذات العامل الثاني، فإنهم يقبلون في النهاية واحدًا إما عن طريق الخطأ أو لأنهم يريدون إيقاف الإشعارات.
عادةً ما تضمنت هذه الهجمات قيام الجهات الفاعلة في مجال التهديد أولاً بشكل غير قانوني بالحصول على اسم المستخدم وكلمة المرور لحساب الضحية ثم استخدام هجوم التفجير أو الإرهاق للحصول على مصادقة العامل الثاني للحسابات المحمية بواسطة MFA. في عام 2022، على سبيل المثال، حصل أعضاء مجموعة التهديد Lapsus$ على بيانات اعتماد VPN لفرد يعمل لدى مقاول خارجي لشركة Uber. ثم استخدموا أوراق الاعتماد ل حاول بشكل متكرر تسجيل الدخول إلى حساب VPN الخاص بالمقاول تشغيل طلب مصادقة ثنائية على هاتف المقاول في كل مرة - وهو ما وافق عليه المقاول في النهاية. استخدم المهاجمون بعد ذلك وصول VPN لاختراق أنظمة Uber المتعددة.
إن التطور في هجمات تفجيرات MFA الجديدة التي تستهدف مستخدمي Apple هو أن المهاجمين لا يبدو أنهم يستخدمون - أو حتى يطلبون - أي اسم مستخدم أو كلمة مرور تم الحصول عليها مسبقًا.
يقول الباحث الأمني مات جوهانسن: "في تفجيرات MFA السابقة، كان المهاجم قد قام باختراق كلمة مرور المستخدم إما عن طريق التصيد الاحتيالي أو تسرب البيانات ثم استخدمها عدة مرات حتى أكد المستخدم إشعار دفع MFA". "في هذا الهجوم، كل ما يملكه المتسلل هو رقم هاتف المستخدم أو عنوان البريد الإلكتروني المرتبط بحساب iCloud، ويستفيدون من تدفق "نسيت كلمة المرور" الذي يطالب الجهاز الموثوق به للمستخدم للسماح بإعادة تعيين كلمة المرور. "
يقول جوهانسن إن إعادة تعيين كلمة المرور تحتوي على اختبار CAPTCHA للمساعدة في تحديد معدل طلبات إعادة التعيين. لكن يبدو أن المهاجمين يتخطون ذلك بسهولة، كما يشير. حقيقة أن الجهات الفاعلة التهديد تنتحل رقم هاتف دعم Apple الشرعي وتتصل بالمستخدم في نفس الوقت الذي يتم فيه تفجير MFA هو اختلاف ملحوظ آخر.
"لذلك، يشعر المستخدم بالارتباك بسبب زيادة طلبات MFA على أجهزته، ويتلقى مكالمة من رقم Apple شرعي يخبره بأنه هنا للمساعدة، فقط دعه يعرف الرمز الذي تم إرساله إلى هاتفه. أعتقد أن هذا تكتيك ذو معدل نجاح مرتفع للغاية.
ويضيف جوهانسن أنه بناءً على المعلومات المتاحة حول الهجوم، فمن المحتمل أن الجهات الفاعلة في مجال التهديد تلاحق الأفراد ذوي الثروات الكبيرة. ويقول: "أعتقد أن مجتمع العملات المشفرة سيكون الأكثر تضرراً، من التقارير الأولية".
يقول جاريد سميث، المهندس المتميز في SecurityScorecard، إنه من المحتمل أن يقوم المهاجمون ببساطة بحشو بيانات الاعتماد لنماذج إعادة تعيين كلمة المرور الخاصة بشركة Apple باستخدام عناوين البريد الإلكتروني المعروفة لـ Apple iCloud/Me.com.
"سيكون ذلك بمثابة قيامي بالذهاب إلى X/Twitter وإدخال بريدك الإلكتروني الشخصي في نموذج إعادة تعيين كلمة المرور، على أمل أو معرفة أنك تستخدمه لـ Twitter، وإما إزعاجك، أو، إذا كنت ذكيًا، الحصول على طريقة ما للحصول على إعادة تعيين الرموز منك."
ويقول إنه من المحتمل أن تقوم شركة Apple بفحص الإشعارات الجماعية التي يتم تشغيلها والنظر في تحديد أكثر صرامة للمعدل وآليات حماية رفض الخدمة الموزعة (DDoS).
"حتى لو كانت الجهات الفاعلة في مجال التهديد تستخدم خوادم بروكسي أفضل توفر عناوين IP محلية، يبدو أنها لا تزال ترسل عددًا كبيرًا من المحاولات التي قد ترغب Apple في إضافة اختبارات CAPTCHA أكثر عدوانية" أو حماية قائمة على شبكة توصيل المحتوى (CDN) يقول سميث.
"الرفض افتراضيًا"
لقد أصبح من الواضح جدًا أن هناك حاجة إلى مصادقة أقوى تتجاوز MFA لتأمين الأجهزة حيث يجد المهاجمون طرقًا جديدة لتجاوزها. على سبيل المثال، تستهدف الجهات التهديدية حاليًا مايكروسوفت 365 وحسابات البريد الإلكتروني في Gmail مع حملات التصيد باستخدام مجموعة MFA-bypass phishing-as-a-service (PhaaS) الموزعة عبر Telegram والتي تسمى قطب 2FA هذا يكتسب قوة جذب كبيرة.
علاوة على ذلك، أصبح التصيد الاحتيالي في حد ذاته بمثابة جائحة الجريمة السيبرانية العالمية، مع جهات فاعلة منظمة وذات مهارات عالية في جميع أنحاء العالم تستهدف الأشخاص الذين لديهم معرفة ببياناتهم الشخصية. في الواقع، أ تقرير نشرته اليوم Hiya ووجدت أن 28% من جميع المكالمات غير المعروفة في عام 2023 كانت عبارة عن احتيال أو بريد عشوائي، مع متوسط خسارة قدرها 2,300 دولار لكل مستخدم لأولئك الذين خسروا الأموال بسبب هذه الهجمات.
إن تفجيرات MFA والهجمات المشابهة "تعد تذكيرًا قويًا بأن المتصيدين يجدون بشكل متزايد طرقًا مبتكرة لاستغلال الطبيعة البشرية للوصول إلى حسابات الأشخاص القيمة، في العمل والمنزل"، كما تشير آنا بوبليتس، رئيسة قسم عدم كلمة المرور في 1Password.
وتقترح اتباع نهج "الرفض افتراضيًا" لأي مكالمة هاتفية أو أي نوع آخر من الرسائل أو التنبيهات التي "تبدو غير عادية إلى حد ما"، مثل مكالمة غير مرغوب فيها من خدمة العملاء، حتى لو كانت تبدو واردة من كيان موثوق به.
ومع ذلك، فإن هذه النصيحة ليست الحل الأمثل لأنها "تضع عبئًا أمنيًا على عاتق المستخدمين"، كما يقول بوبليتس. في الواقع، قد يكون الحل النهائي لتجاوز MFA من قبل المهاجمين هو الاستخدام مفاتيح المرور, والتي تكافح هجمات التصيد الاحتيالي مثل قصف MFA من خلال القضاء على استخدام بيانات الاعتماد، وهي "المكافأة التي يسعى إليها المتسللون في نهاية المطاف"، كما تقول.
ومع ذلك، يضيف بوبليتس أنه إلى أن يتم اعتماد مفاتيح المرور، سيتعين على الشركات تعويض النقص من أجل "معالجة نقاط الضعف بسرعة وتحسين أساليب المصادقة وتدفقات الاسترداد".
بالنسبة لمستخدمي iPhone الذين يرغبون في تجنب استهدافهم بالموجة الحالية من تفجيرات MFA، اقترحت KrebsOnSecurity أنه يمكنهم تغيير رقم الهاتف المرتبط بحسابهم إلى رقم VoIP - مثل رقم من Skype أو Google Voice - لتجنب وصول المهاجمين إلى رقم هاتف iPhone الخاص بهم وبالتالي استهدافهم. وأضاف الموقع أن هذا سيؤدي أيضًا إلى تعطيل iMessage وFacetime على الجهاز، وهو ما "قد يكون بمثابة مكافأة لأولئك المهتمين بشأن تقليل مساحة الهجوم الإجمالية لأجهزة Apple الخاصة بهم".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
