Οι επιτιθέμενοι στοχεύουν χρήστες iPhone της Apple με ένα εξάνθημα Βομβιστικές επιθέσεις του Υπουργείου Εξωτερικών που χρησιμοποιούν μια αδυσώπητη σειρά νόμιμων ειδοποιήσεων για επαναφορά κωδικού πρόσβασης σε κάτι που φαίνεται να είναι μια προσπάθεια να κατακτήσουν τους λογαριασμούς τους iCloud. Η δραστηριότητα έχει επικεντρώσει την προσοχή στην εξελισσόμενη φύση των λεγόμενων βομβαρδιστικών επιθέσεων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Μια αναφορά από τον ιστότοπο ασφάλειας πληροφοριών KrebsOnSecurity ανέδειξε αρχικά την καμπάνια, η οποία στοχεύει στελέχη επιχειρήσεων και τεχνολογίας. Η έκθεση ανέφερε πολλά άτομα που είχαν βιώσει αυτά τα περιστατικά πρόσφατα. Λίγοι είπαν ότι είχαν ακόμη έλαβε «επιβλητικές» τηλεφωνικές κλήσεις από άτομα που υποτίθεται ότι είναι προσωπικό υποστήριξης της Apple που χρησιμοποιούν έναν αριθμό που παραπλάνησε την επίσημη γραμμή υποστήριξης πελατών της Apple.
Σε συνομιλίες με το Dark Reading, οι ερευνητές εμβάθυναν στη δραστηριότητα, τονίζοντας τις νέες τακτικές βομβαρδισμού που χρησιμοποιούνται στην εκστρατεία.
Επαναφορά κωδικού πρόσβασης Flood
Η πλημμύρα επαναφοράς κωδικού πρόσβασης και οι τηλεφωνικές κλήσεις φάνηκε να είναι μια εξαιρετικά στοχευμένη προσπάθεια εξαπάτησης των θυμάτων να χρησιμοποιήσουν τις συσκευές Apple τους για να επαναφέρουν το Apple ID τους. Ένα θύμα που ασχολήθηκε με το υποτιθέμενο προσωπικό υποστήριξης πελατών της Apple, ανέφερε ότι ξαφνιάστηκε από το "απόλυτα ακριβήςπληροφορίες που φάνηκε να έχουν οι επιτιθέμενοι για αυτόν καθώς προσπαθούσε να ελέγξει την αξιοπιστία τους.
Σε μια άλλη περίπτωση, ένα άτομο ανέφερε ότι οι ειδοποιήσεις push συνεχίζονται αμείωτα ακόμα και αφού άλλαξε το παλιό του τηλέφωνο με ένα νέο iPhone, άλλαξε τη διεύθυνση email του και δημιούργησε έναν ολοκαίνουργιο λογαριασμό iCloud. Ένα άλλο θύμα ανέφερε ότι έλαβε τα αιτήματα επαναφοράς κωδικού πρόσβασης ακόμη και μετά την ενεργοποίηση του α ανάκτηση κλειδιού για το Apple ID τους κατόπιν αιτήματος ενός μηχανικού υποστήριξης της Apple. Η Apple έχει διαφημίσει το κλειδί - μια προαιρετική δυνατότητα - καθώς βοηθά τους χρήστες να προστατεύουν καλύτερα τους λογαριασμούς τους και ότι απενεργοποιεί τις τυπικές διαδικασίες ανάκτησης κωδικού πρόσβασης της Apple.
Η προφανής ικανότητα του εισβολέα να στέλνει δεκάδες αιτήματα επαναφοράς σε σύντομο χρονικό διάστημα προκάλεσε ορισμένα ερωτήματα σχετικά με μια πιθανή βλάβη στον μηχανισμό επαναφοράς κωδικού πρόσβασης της Apple για λογαριασμούς iCloud, όπως ένα πιθανό πρόβλημα «ορίου ποσοστού» που επιτρέπει εσφαλμένα όγκους σε επίπεδο ανεπιθύμητης αλληλογραφίας αιτήματα επαναφοράς.
Η Apple δεν επιβεβαίωσε ούτε διέψευσε τις αναφερόμενες επιθέσεις. Ούτε απάντησε στην ερώτηση του Dark Reading σχετικά με το εάν οι εισβολείς ενδέχεται να αξιοποιούν ένα αφανές σφάλμα στη δυνατότητα επαναφοράς κωδικού πρόσβασης της εταιρείας. Αντίθετα, ένας εκπρόσωπος της εταιρείας επισήμανε ένα άρθρο υποστήριξης που δημοσίευσε η Apple στις 23 Φεβρουαρίου, προσφέροντας συμβουλές στους πελάτες σχετικά με τον τρόπο εντοπισμού και αποφύγετε μηνύματα ηλεκτρονικού ψαρέματος, ψεύτικες κλήσεις υποστήριξης και άλλες απάτες.
Ο εκπρόσωπος τόνισε ενότητες του άρθρου που σχετίζονται με εισβολείς που μερικές φορές χρησιμοποιούν πλαστές πληροφορίες αναγνώρισης καλούντος για να πλαστογραφήσουν αριθμούς τηλεφώνου και συχνά ισχυρίζονται ύποπτη δραστηριότητα σε έναν λογαριασμό ή μια συσκευή για να κάνουν τους χρήστες να προβούν σε κάποια ανεπιθύμητη ενέργεια. «Εάν λάβετε ένα αυτόκλητο ή ύποπτο τηλεφώνημα από κάποιον που ισχυρίζεται ότι είναι από την Apple ή την Apple Support, απλώς κλείστε το τηλέφωνο», σημειώνεται στη συμβουλή.
MFA Bombing: An Evoling Cyber Tactic
Οι πολυπαραγοντικές βομβαρδιστικές επιθέσεις — επίσης γνωστές ως επιθέσεις πολυπαραγοντικής κόπωσης — είναι α εκμετάλλευση κοινωνικής μηχανικής στην οποία οι εισβολείς πλημμυρίζουν το τηλέφωνο, τον υπολογιστή ή τον λογαριασμό email ενός στόχου με ειδοποιήσεις push για να εγκρίνουν μια σύνδεση ή μια επαναφορά κωδικού πρόσβασης. Η ιδέα πίσω από αυτές τις επιθέσεις είναι να κατακλύζουν έναν στόχο με τόσα πολλά αιτήματα ελέγχου ταυτότητας δεύτερου παράγοντα που τελικά αποδέχονται ένα είτε κατά λάθος είτε επειδή θέλουν να σταματήσουν οι ειδοποιήσεις.
Συνήθως, αυτές οι επιθέσεις περιλάμβαναν τους φορείς απειλών που πρώτα απέκτησαν παράνομα το όνομα χρήστη και τον κωδικό πρόσβασης σε έναν λογαριασμό θύματος και στη συνέχεια χρησιμοποιούσαν μια επίθεση βομβαρδισμού ή κόπωσης για να αποκτήσουν έλεγχο ταυτότητας δεύτερου παράγοντα σε λογαριασμούς που προστατεύονται από το MFA. Το 2022, για παράδειγμα, μέλη της ομάδας απειλών Lapsus$ απέκτησαν τα διαπιστευτήρια VPN για ένα άτομο που εργαζόταν για έναν τρίτο εργολάβο για την Uber. Στη συνέχεια χρησιμοποίησαν τα διαπιστευτήρια για να προσπαθήστε επανειλημμένα να συνδεθείτε στον λογαριασμό VPN του αναδόχου ενεργοποίηση ενός αιτήματος ελέγχου ταυτότητας δύο παραγόντων στο τηλέφωνο του αναδόχου κάθε φορά — το οποίο τελικά ενέκρινε ο ανάδοχος. Στη συνέχεια, οι εισβολείς χρησιμοποίησαν την πρόσβαση VPN για να παραβιάσουν πολλαπλά συστήματα Uber.
Η ανατροπή στις νέες βομβαρδιστικές επιθέσεις MFA που στοχεύουν χρήστες της Apple είναι ότι οι επιτιθέμενοι δεν φαίνεται να χρησιμοποιούν - ή ακόμη και να απαιτούν - οποιοδήποτε όνομα χρήστη ή κωδικό πρόσβασης που έχουν αποκτήσει προηγουμένως.
«Σε προηγούμενο βομβαρδισμό MFA, ο εισβολέας θα είχε θέσει σε κίνδυνο τον κωδικό πρόσβασης του χρήστη είτε μέσω phishing είτε μέσω διαρροής δεδομένων και στη συνέχεια τον χρησιμοποιούσε πολλές φορές μέχρι ο χρήστης να επιβεβαιώσει την ειδοποίηση push MFA», λέει ο ερευνητής ασφαλείας Matt Johansen. «Σε αυτήν την επίθεση, το μόνο που έχει ο χάκερ είναι ο αριθμός τηλεφώνου ή η διεύθυνση email του χρήστη που σχετίζεται με έναν λογαριασμό iCloud και εκμεταλλεύεται τη ροή "ξέχασα τον κωδικό πρόσβασης" στην αξιόπιστη συσκευή του χρήστη για να επιτρέψει την επαναφορά του κωδικού πρόσβασης. ”
Η επαναφορά κωδικού πρόσβασης έχει ένα CAPTCHA για να βοηθήσει στον περιορισμό των αιτημάτων επαναφοράς, λέει ο Johansen. Αλλά φαίνεται ότι οι επιτιθέμενοι το παρακάμπτουν εύκολα αυτό, σημειώνει. Το γεγονός ότι οι φορείς απειλών πλαστογραφούν τον νόμιμο αριθμό τηλεφώνου της Apple Support και καλούν τον χρήστη ταυτόχρονα με τον βομβαρδισμό MFA είναι μια άλλη αξιοσημείωτη διαφορά.
«Έτσι, ο χρήστης είναι αναστατωμένος με τη συσκευή του να ανατινάζεται σε αιτήματα MFA και λαμβάνει μια κλήση από έναν νόμιμο αριθμό της Apple που λέει ότι είναι εδώ για να βοηθήσει, απλώς ενημερώστε τον για τον κωδικό που εστάλη στο τηλέφωνό του. Υποθέτω ότι αυτή είναι μια τακτική με πολύ υψηλό ποσοστό επιτυχίας».
Με βάση τις διαθέσιμες πληροφορίες για την επίθεση, είναι πιθανό ότι οι παράγοντες της απειλής κυνηγούν άτομα υψηλής καθαρής αξίας, προσθέτει ο Johansen. «Υποψιάζομαι ότι η κοινότητα των κρυπτονομισμάτων θα πληγεί περισσότερο, από τις αρχικές αναφορές», λέει.
Ο Jared Smith, διακεκριμένος μηχανικός στο SecurityScorecard, λέει ότι είναι πιθανό οι εισβολείς απλώς να γεμίζουν διαπιστευτήρια τις φόρμες επαναφοράς κωδικών πρόσβασης της Apple χρησιμοποιώντας γνωστές διευθύνσεις email της Apple iCloud/Me.com.
«Θα ήταν το ισοδύναμο με το να πάω στο X/Twitter και να συνδέσω το προσωπικό σας email στη φόρμα επαναφοράς κωδικού πρόσβασης, ελπίζοντας ή γνωρίζοντας ότι το χρησιμοποιείτε για το Twitter, και είτε να σας ενοχλήσω είτε, αν ήμουν έξυπνος, να είχα κάποιον τρόπο να λάβω το επαναφέρετε τους κωδικούς από εσάς."
Λέει ότι είναι πιθανό ότι η Apple εξετάζει τις μαζικές ειδοποιήσεις που ενεργοποιούνται και εξετάζει το ενδεχόμενο αυστηρότερων μηχανισμών προστασίας του περιορισμού των τιμών και της διανομής άρνησης παροχής υπηρεσιών (DDoS).
«Ακόμη και αν οι φορείς απειλών χρησιμοποιούν καλύτερους διακομιστές μεσολάβησης που προσφέρουν οικιακές IP, εξακολουθούν να φαίνεται να στέλνουν τόσο μεγάλο όγκο προσπαθειών που η Apple μπορεί να θέλει να προσθέσει ακόμη πιο επιθετικά CAPTCHA» ή μια προστασία που βασίζεται σε δίκτυο παράδοσης περιεχομένου (CDN) , λέει ο Smith.
"Απόρριψη από προεπιλογή"
Γίνεται απολύτως σαφές ότι απαιτείται ισχυρότερος έλεγχος ταυτότητας πέρα από το MFA για την ασφάλεια των συσκευών, καθώς οι εισβολείς βρίσκουν νέους τρόπους για να το παρακάμψουν. Για παράδειγμα, οι παράγοντες απειλών στοχεύουν επί του παρόντος Microsoft 365 και λογαριασμοί ηλεκτρονικού ταχυδρομείου Gmail με καμπάνιες ηλεκτρονικού ψαρέματος που χρησιμοποιούν ένα κιτ phishing-as-a-service (PhaaS) παράκαμψης MFA που διανέμεται μέσω του Telegram που ονομάζεται Tycoon 2FA που κερδίζει σημαντική έλξη.
Επιπλέον, το ίδιο το vishing γίνεται α παγκόσμια πανδημία κυβερνοεγκληματικότητας, με υψηλά καταρτισμένους και οργανωμένους παράγοντες σε όλο τον κόσμο που στοχεύουν άτομα με γνώση των προσωπικών τους δεδομένων. Στην πραγματικότητα, α έκθεση που δημοσιεύτηκε σήμερα από το Hiya διαπίστωσε ότι το 28% όλων των άγνωστων κλήσεων το 2023 ήταν απάτη ή ανεπιθύμητη αλληλογραφία, με μέση απώλεια 2,300 $ ανά χρήστη για όσους έχασαν χρήματα από αυτές τις επιθέσεις.
Οι βομβαρδισμοί MFA και παρόμοιες επιθέσεις «είναι μια σκληρή υπενθύμιση ότι οι phishers βρίσκουν ολοένα και περισσότερο δημιουργικούς τρόπους για να εκμεταλλεύονται την ανθρώπινη φύση για να έχουν πρόσβαση σε πολύτιμους λογαριασμούς ανθρώπων, στη δουλειά και στο σπίτι», σημειώνει η Anna Pobletts, επικεφαλής του τμήματος κωδικών πρόσβασης στο 1Password.
Προτείνει μια προσέγγιση «απόρριψης από προεπιλογή» σε οποιαδήποτε τηλεφωνική κλήση ή άλλου τύπου μήνυμα ή ειδοποίηση που «φαίνεται το παραμικρό ασυνήθιστο», όπως μια αυτόκλητη κλήση από την εξυπηρέτηση πελατών, ακόμα κι αν φαίνεται να προέρχεται από αξιόπιστη οντότητα.
Ωστόσο, αυτή η συμβουλή δεν είναι η βέλτιστη λύση, καθώς «βάζει το βάρος της ασφάλειας στους χρήστες», λέει ο Pobletts. Πράγματι, η τελική λύση για την παράκαμψη MFA από τους εισβολείς μπορεί να είναι η χρήση κωδικούς πρόσβασης, which combat phishing attacks like MFA bombing by eliminating the use of credentials, which are “the reward that hackers are ultimately after,” she says.
Ωστόσο, έως ότου υιοθετηθούν οι κωδικοί πρόσβασης, οι εταιρείες θα πρέπει να πάρουν το κίνητρο για να «αντιμετωπίσουν γρήγορα τα τρωτά σημεία και να βελτιώσουν τις μεθόδους ελέγχου ταυτότητας και τις ροές ανάκτησης», προσθέτει ο Pobletts.
Για τους χρήστες iPhone που θέλουν να αποφύγουν να στοχοποιηθούν από την τρέχουσα σειρά βομβαρδισμών MFA, το KrebsOnSecurity πρότεινε ότι μπορούν να αλλάξουν τον αριθμό τηλεφώνου που σχετίζεται με τον λογαριασμό τους σε έναν αριθμό VoIP — όπως έναν από το Skype ή το Google Voice — για να αποφευχθεί η πρόσβαση των εισβολέων στον αριθμό iPhone τους και έτσι στοχεύοντάς τους. Αυτό θα απενεργοποιήσει επίσης το iMessage και το Facetime στη συσκευή, κάτι που «μπορεί να είναι ένα μπόνους για όσους ανησυχούν για τη μείωση της συνολικής επιφάνειας επίθεσης των συσκευών Apple τους», πρόσθεσε ο ιστότοπος.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
