Hyökkääjät kohdistavat Applen iPhone-käyttäjiin ihottumaa MFA:n pommi-iskut jotka käyttävät säälimätöntä sarjaa laillisia salasanan palautusilmoituksia yrittäessään ottaa haltuunsa heidän iCloud-tilinsä. Toiminta on kiinnittänyt huomiota niin sanottujen monitekijätodennus (MFA) -pommihyökkäysten kehittyvään luonteeseen.
Tietoturvasivuston KrebsOnSecurityn raportti korosti ensin kampanjaa, joka on suunnattu liike-elämän ja tekniikan johtajille. Raportti lainasi useita henkilöitä, jotka olivat kokeneet näitä tapauksia äskettäin. Muutamat sanoivat jopa vastaanottanut "vishing" puheluita henkilöiltä, jotka väittivät olevansa Applen tukihenkilöstöä käyttämällä numeroa, joka huijasi Applen virallisen asiakastukilinjan.
Keskusteluissa Dark Readingin kanssa tutkijat syventyivät toimintaan ja korostivat kampanjassa käytettyjä uusia pommitaktiikoita.
Salasanan palautus Flood
Salasanan nollaustulva ja puhelut näyttivät olevan erittäin kohdennettu yritys huijata uhrit käyttämään Apple-laitteitaan Apple ID:n nollaamiseen. Yksi uhri, joka oli tekemisissä oletetun Applen asiakastukihenkilöstön kanssa, kertoi hämmästyneensä enimmäkseen "täysin tarkka”tietoja, joita hyökkääjillä näytti olevan hänestä, kun hän yritti varmistaa heidän uskottavuutensa.
Toisessa tapauksessa henkilö ilmoitti push-ilmoitusten jatkuvan lakkaamatta senkin jälkeen, kun hän vaihtoi vanhan puhelimensa uuteen iPhoneen, vaihtoi sähköpostiosoitteensa ja loi upouuden iCloud-tilin. Toinen uhri kertoi saaneensa salasanan palautuspyynnöt senkin jälkeen, kun a avain elpyminen Apple ID:lleen Applen tukiinsinöörin pyynnöstä. Apple on mainostanut avainta – valinnaista ominaisuutta – auttavan käyttäjiä suojaamaan paremmin tiliään ja sammuttamaan Applen tavalliset salasanan palautusprosessit.
Hyökkääjän ilmeinen kyky lähettää kymmeniä nollauspyyntöjä lyhyessä ajassa herätti kysymyksiä mahdollisesta häiriöstä Applen salasanan palautusmekanismissa iCloud-tileissä, kuten mahdollinen "nopeusrajoitus"-ongelma, joka sallii virheellisesti roskapostitason määrän nollauspyynnöt.
Apple ei vahvistanut tai kiistänyt raportoituja hyökkäyksiä. Se ei myöskään vastannut Dark Readingin kysymykseen siitä, voivatko hyökkääjät hyödyntää julkistamatonta bugia yrityksen salasanan palautusominaisuudesta. Sen sijaan yrityksen tiedottaja viittasi Applen 23. helmikuuta julkaisemaan tukiartikkeliin, joka tarjosi asiakkaille neuvoja siitä, kuinka havaita välttää tietojenkalasteluviestejä, vääriä tukipuheluita ja muita huijauksia.
Tiedottaja korosti artikkelin osia, jotka koskevat hyökkääjiä, jotka käyttävät toisinaan vääriä soittajan tunnustietoja puhelinnumeroiden huijaamiseen ja väittävät usein epäilyttävästä toiminnasta tilillä tai laitteessa saadakseen käyttäjät ryhtymään ei-toivottuihin toimiin. "Jos saat ei-toivotun tai epäilyttävän puhelun henkilöltä, joka väittää olevansa Applelta tai Applen tuelta, katkaise vain puhelin", neuvottiin.
MFA:n pommitukset: kehittyvä kybertaktiikka
Monitekijäpommi-iskut, jotka tunnetaan myös nimellä monitekijäiset väsymyshyökkäykset, ovat a sosiaalisen suunnittelun hyväksikäyttö jossa hyökkääjät täyttävät kohteen puhelimen, tietokoneen tai sähköpostitilin push-ilmoituksilla hyväksyäkseen kirjautumisen tai salasanan nollauksen. Näiden hyökkäysten taustalla on ajatus hukuttaa kohde niin monta toisen tekijän todennuspyyntöä, että he lopulta hyväksyvät sellaisen joko vahingossa tai koska he haluavat ilmoitusten lopettavan.
Tyypillisesti näissä hyökkäyksissä uhkatoimijat ovat ensin hankkineet laittomasti uhritilin käyttäjätunnuksen ja salasanan ja sitten käyttäneet pommi- tai väsymishyökkäystä saadakseen toisen tekijän todennusta MFA:n suojaamille tileille. Esimerkiksi vuonna 2022 Lapsus$-uhkaryhmän jäsenet saivat Uberin kolmannen osapuolen urakoitsijan palveluksessa työskentelevän henkilön VPN-tunnukset. Sitten he käyttivät valtuustietoja yritä toistuvasti kirjautua sisään urakoitsijan VPN-tilille käynnistää kaksivaiheisen todennuspyynnön urakoitsijan puhelimessa joka kerta – jonka urakoitsija lopulta hyväksyi. Hyökkääjät käyttivät sitten VPN-käyttöä murtautuakseen useisiin Uber-järjestelmiin.
Uusien Applen käyttäjiin kohdistettujen MFA-pommihyökkäysten käänne on se, että hyökkääjät eivät näytä käyttävän – tai edes vaativan – mitään aiemmin hankittua käyttäjätunnusta tai salasanaa.
"Aiemmassa MFA-pommi-iskussa hyökkääjä olisi vaarantanut käyttäjän salasanan joko tietojenkalastelulla tai tietovuodon kautta ja sitten käyttänyt sitä monta kertaa, kunnes käyttäjä vahvisti MFA:n push-ilmoituksen", turvallisuustutkija Matt Johansen sanoo. "Tässä hyökkäyksessä hakkereilla on vain käyttäjän puhelinnumero tai sähköpostiosoite, joka on liitetty iCloud-tiliin, ja he käyttävät hyväkseen "unohdin salasanan" -kehotetta käyttäjän luotetussa laitteessa salliakseen salasanan nollauksen. ”
Salasanan nollauksessa on CAPTCHA, joka auttaa rajoittamaan palautuspyyntöjä, Johansen sanoo. Mutta näyttää siltä, että hyökkääjät ohittavat sen helposti, hän huomauttaa. Toinen merkittävä ero on se, että uhkatoimijat huijaavat laillista Apple-tukipuhelinnumeroa ja soittavat käyttäjälle samanaikaisesti MFA-pommituksen kanssa.
"Joten, käyttäjä on hämmentynyt laitteensa räjähtämisestä MFA-pyyntöjen takia, ja hän saa puhelun laillisesta Apple-numerosta, jossa sanotaan, että he ovat täällä auttamassa. Kerro heille vain, minkä koodin hän lähetti puhelimeen. Luulen, että tämä on erittäin korkea onnistumisprosentti."
Hyökkäyksestä saatavilla olevien tietojen perusteella on todennäköistä, että uhkatekijät jahtaavat varakkaita henkilöitä, Johansen lisää. "Epäilen, että kryptoyhteisö kärsisi eniten alustavien raporttien perusteella", hän sanoo.
SecurityScorecardin arvostettu insinööri Jared Smith sanoo, että on todennäköistä, että hyökkääjät yksinkertaisesti täyttävät Applen salasanan palautuslomakkeita käyttämällä tunnettuja Applen iCloud/Me.com-sähköpostiosoitteita.
"Se olisi sama kuin menisin X/Twitteriin ja liittäisin henkilökohtaisen sähköpostisi salasanan nollauslomakkeeseen, toivoen tai tietäen, että käytät sitä Twitterissä, ja joko ärsyttäisin sinua tai, jos olisin älykäs, minulla olisi jokin tapa saada nollaa koodit sinulta."
Hän sanoo, että on todennäköistä, että Apple tutkii laukaisevia joukkoilmoituksia ja harkitsee tiukempia nopeusrajoituksia ja hajautettuja palvelunesto- (DDoS) -suojamekanismeja.
"Vaikka uhkatoimijat käyttävät parempia välityspalvelimia, jotka tarjoavat asuin-IP:itä, he näyttävät silti lähettävän niin paljon yrityksiä, että Apple saattaa haluta lisätä vielä aggressiivisempia CAPTCHA:ita" tai sisällönjakeluverkkoon (CDN) perustuvaa suojausta. , Smith sanoo.
"Hylkää oletuksena"
On käymässä täysin selväksi, että MFA:n lisäksi vahvempi todennus vaaditaan laitteiden suojaamiseksi, kun hyökkääjät löytävät uusia tapoja ohittaa se. Esimerkiksi uhkatoimijat ovat tällä hetkellä kohteena Microsoft 365 ja Gmail-sähköpostitilit tietojenkalastelukampanjoilla käyttämällä MFA-bypass phishing-as-a-service (PhaaS) -pakettia, joka jaetaan Telegramin kautta. Tycoon 2FA se saa merkittävää vetovoimaa.
Lisäksi itse visioinnista on tulossa a globaali kyberrikollinen pandemia, jossa on korkeasti koulutettuja ja organisoituja toimijoita eri puolilla maailmaa, jotka kohdistavat kohteensa ihmisiin, jotka tuntevat henkilötietonsa. Itse asiassa a Hiyan tänään julkaisema raportti havaitsi, että 28 % kaikista tuntemattomista puheluista vuonna 2023 oli petoksia tai roskapostia, ja keskimäärin 2,300 XNUMX dollaria käyttäjää kohden, jotka menettivät rahaa näiden hyökkäysten takia.
MFA-pommitukset ja vastaavat hyökkäykset "ovat kova muistutus siitä, että tietojenkalastelijat löytävät yhä enemmän luovia tapoja hyödyntää ihmisluontoa päästäkseen käsiksi ihmisten arvokkaisiin tileihin töissä ja kotona", toteaa Anna Pobletts, 1Passwordin salasanattomien toimintojen johtaja.
Hän ehdottaa "hylkää oletusarvoisesti" -lähestymistapaa kaikkiin puheluihin tai muun tyyppisiin viesteihin tai hälytyksiin, jotka "vaikuttavat pienintäkään epätavallista", kuten ei-toivottua puhelua asiakaspalvelusta, vaikka se näyttäisi tulevan luotettavalta taholta.
Tämä neuvo ei kuitenkaan ole optimaalinen ratkaisu, koska se "asettaa turvataakan käyttäjille", Pobletts sanoo. Lopullinen ratkaisu MFA:n ohitukseen hyökkääjien toimesta voi todellakin olla käyttö avaimet, jotka torjuvat tietojenkalasteluhyökkäyksiä, kuten MFA-pommituksia, poistamalla valtuustietojen käytön, jotka ovat "palkinto, jota hakkerit lopulta tavoittelevat", hän sanoo.
Ennen kuin salasanat otetaan käyttöön, yritysten on kuitenkin ryhdyttävä "korjaamaan nopeasti haavoittuvuuksia ja parantamaan todennusmenetelmiään ja palautuskulkujaan", Pobletts lisää.
iPhone-käyttäjille, jotka haluavat välttää nykyisen MFA-pommituksen kohteeksi joutumisen, KrebsOnSecurity ehdotti, että he voivat muuttaa tiliinsä liittyvän puhelinnumeron VoIP-numeroksi – esimerkiksi Skypen tai Google Voicen numeroksi – välttääkseen hyökkääjien pääsyn. iPhone-numeroonsa ja siten kohdistaa heihin. Tämä myös poistaa käytöstä iMessagen ja Facetimen laitteelta, mikä "voi olla bonus niille, jotka ovat huolissaan Apple-laitteidensa yleisen hyökkäyspinnan vähentämisestä", sivusto lisäsi.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
