Gli aggressori stanno prendendo di mira gli utenti di Apple iPhone con un'ondata di attacchi Attentati del Ministero degli Affari Esteri che utilizzano una serie incessante di avvisi legittimi di notifica di reimpostazione della password in quello che sembra essere un tentativo di impossessarsi dei loro account iCloud. L’attività ha focalizzato l’attenzione sulla natura in evoluzione dei cosiddetti attacchi bombing con autenticazione multifattore (MFA).
Un rapporto del sito web sulla sicurezza delle informazioni KrebsOnSecurity ha evidenziato per primo la campagna, che si rivolge ai dirigenti aziendali e tecnologici. Il rapporto citava diverse persone che avevano vissuto questi incidenti di recente. Alcuni hanno detto che avevano pareggiato ricevuto telefonate “vishing”. da individui che pretendono di essere personale di supporto Apple utilizzando un numero che falsificava la linea di assistenza clienti ufficiale di Apple.
Nelle conversazioni con Dark Reading, i ricercatori hanno approfondito l’attività, evidenziando le nuove tattiche di bombardamento utilizzate nella campagna.
Diluvio di reimpostazione della password
L'ondata di reimpostazione della password e le telefonate sembravano essere un tentativo altamente mirato di indurre le vittime a utilizzare i propri dispositivi Apple per reimpostare il proprio ID Apple. Una vittima che ha interagito con il presunto personale dell'assistenza clienti Apple ha riferito di essere rimasta sorpresa dal fatto che per lo più "totalmente accurato" informazioni che gli aggressori sembravano avere su di lui mentre cercava di verificare la loro credibilità.
In un altro caso, un individuo ha riferito che le notifiche push continuavano senza sosta anche dopo aver sostituito il suo vecchio telefono con un nuovo iPhone, cambiato il suo indirizzo email e creato un nuovissimo account iCloud. Un'altra vittima ha raccontato di aver ricevuto richieste di reimpostazione della password anche dopo aver abilitato a recupero della chiave per il loro ID Apple su richiesta di un tecnico del supporto Apple. Apple ha pubblicizzato la chiave, una funzionalità opzionale, per aiutare gli utenti a proteggere meglio i propri account e per disattivare i processi standard di recupero della password di Apple.
L'apparente capacità dell'aggressore di inviare dozzine di richieste di reimpostazione in un breve periodo di tempo ha sollevato alcune domande su un potenziale problema tecnico nel meccanismo di reimpostazione della password di Apple per gli account iCloud, come un possibile problema di "limite di velocità" che consente erroneamente volumi di spam a livello di spam. reimpostare le richieste.
Apple non ha confermato né smentito gli attacchi segnalati. Né ha risposto alla domanda di Dark Reading sulla possibilità che gli aggressori stiano sfruttando un bug non divulgato nella funzione di reimpostazione della password dell'azienda. Invece, un portavoce dell'azienda ha fatto riferimento a un articolo di supporto pubblicato da Apple il 23 febbraio in cui offre consigli ai clienti su come individuare e evitare messaggi di phishing, chiamate di supporto fasulle e altre truffe.
Il portavoce ha evidenziato le sezioni dell'articolo relative agli aggressori che a volte utilizzano informazioni false sull'ID chiamante per falsificare i numeri di telefono e spesso rivendicano attività sospette su un account o dispositivo per indurre gli utenti a intraprendere azioni indesiderate. "Se ricevi una telefonata non richiesta o sospetta da qualcuno che dichiara di provenire da Apple o dal supporto Apple, riattacca", osserva il consiglio.
Bombardamento dell'MFA: una tattica informatica in evoluzione
Gli attacchi di bombardamento multifattore, noti anche come attacchi di fatica multifattoriale, sono a exploit di ingegneria sociale in cui gli aggressori inondano il telefono, il computer o l'account e-mail di un bersaglio con notifiche push per approvare un accesso o una reimpostazione della password. L'idea alla base di questi attacchi è quella di sopraffare un bersaglio con così tante richieste di autenticazione di secondo fattore che alla fine ne accettano una per errore o perché vogliono che le notifiche vengano interrotte.
In genere, questi attacchi hanno coinvolto gli autori delle minacce prima nell'ottenimento illegale del nome utente e della password per l'account della vittima e poi nell'utilizzo di un bombardamento o di un attacco di fatica per ottenere l'autenticazione di secondo fattore per gli account protetti da MFA. Nel 2022, ad esempio, i membri del gruppo di minaccia Lapsus$ hanno ottenuto le credenziali VPN di un individuo che lavorava per un appaltatore terzo di Uber. Hanno quindi utilizzato le credenziali per provare ripetutamente ad accedere all'account VPN del contraente attivando ogni volta una richiesta di autenticazione a due fattori sul telefono dell'appaltatore, che alla fine l'appaltatore ha approvato. Gli aggressori hanno quindi utilizzato l’accesso VPN per violare diversi sistemi Uber.
La svolta nei nuovi attacchi MFA mirati agli utenti Apple è che gli aggressori non sembrano utilizzare, o addirittura richiedere, alcun nome utente o password ottenuti in precedenza.
"Nei precedenti attacchi MFA, l'aggressore avrebbe compromesso la password dell'utente tramite phishing o fuga di dati e l'avrebbe utilizzata più volte finché l'utente non avesse confermato la notifica push MFA", afferma il ricercatore di sicurezza Matt Johansen. "In questo attacco, tutto ciò che l'hacker ha è il numero di telefono o l'indirizzo e-mail dell'utente associato a un account iCloud e sta sfruttando il flusso di richieste di "password dimenticata" sul dispositivo attendibile dell'utente per consentire la reimpostazione della password. "
La reimpostazione della password contiene un CAPTCHA per aiutare a limitare le richieste di reimpostazione, afferma Johansen. Ma sembra che gli aggressori riescano facilmente ad aggirare questo ostacolo, osserva. Il fatto che gli autori delle minacce stiano falsificando il numero di telefono legittimo del supporto Apple e chiamando l’utente contemporaneamente al bombardamento dell’MFA è un’altra differenza notevole.
"Quindi, l'utente è confuso con il suo dispositivo che esplode in richieste MFA e riceve una chiamata da un numero Apple legittimo che dice che è qui per aiutarlo, fagli solo sapere quale codice ha ricevuto inviato al suo telefono. Immagino che questa sia una tattica con un tasso di successo molto elevato.
Sulla base delle informazioni disponibili sull’attacco, è probabile che gli autori della minaccia stiano dando la caccia a individui con patrimoni elevati, aggiunge Johansen. "Sospetto che, dai rapporti iniziali, la comunità cripto sarebbe quella più colpita", afferma.
Jared Smith, illustre ingegnere di SecurityScorecard, afferma che è probabile che gli aggressori stiano semplicemente riempiendo di credenziali i moduli di reimpostazione della password di Apple utilizzando indirizzi e-mail noti di Apple iCloud/Me.com.
"Sarebbe l'equivalente di andare su X/Twitter e inserire la tua email personale nel modulo di reimpostazione della password, sperando o sapendo che la usi per Twitter, e infastidendoti o, se fossi intelligente, avere un modo per ottenere la reimpostare i codici da te."
Dice che è probabile che Apple stia esaminando le notifiche di massa che vengono attivate e prendendo in considerazione meccanismi di limitazione della velocità e di protezione DDoS (distributed denial-of-service) più rigorosi.
“Anche se gli autori delle minacce utilizzano server proxy migliori che offrono IP residenziali, sembra che stiano comunque inviando un volume di tentativi così grande che Apple potrebbe voler aggiungere CAPTCHA ancora più aggressivi” o una protezione basata sulla rete di distribuzione dei contenuti (CDN) , dice Smith.
"Rifiuta per impostazione predefinita"
Sta diventando evidente che per proteggere i dispositivi è necessaria un'autenticazione più forte oltre l'AMF, poiché gli aggressori trovano nuovi modi per aggirarla. Ad esempio, gli autori delle minacce stanno attualmente prendendo di mira Microsoft 365 e account di posta elettronica Gmail con campagne di phishing che utilizzano un kit PhaaS (Phishing-as-a-Service) per aggirare l'MFA distribuito tramite Telegram chiamato Tycoon 2FA sta guadagnando una notevole popolarità.
Inoltre, il vishing stesso sta diventando un problema pandemia globale di criminalità informatica, con attori altamente qualificati e organizzati in tutto il mondo che prendono di mira le persone a conoscenza dei loro dati personali. In effetti, a rapporto pubblicato oggi da Hiya ha scoperto che il 28% di tutte le chiamate sconosciute nel 2023 erano frodi o spam, con una perdita media di 2,300 dollari per utente per coloro che hanno perso denaro a causa di questi attacchi.
I bombardamenti MFA e attacchi simili "ricordano duramente che i phisher stanno trovando sempre più modi creativi per sfruttare la natura umana per accedere ai preziosi account delle persone, al lavoro e a casa", osserva Anna Pobletts, responsabile passwordless di 1Password.
Suggerisce un approccio di “rifiuto per impostazione predefinita” a qualsiasi telefonata o altro tipo di messaggio o avviso che “sembra minimamente insolito”, come una chiamata non richiesta dal servizio clienti, anche se sembra provenire da un’entità fidata.
Tuttavia, questo consiglio non è la soluzione ottimale poiché “scarica l'onere della sicurezza sugli utenti”, afferma Pobletts. In effetti, la soluzione definitiva per aggirare l’MFA da parte degli aggressori potrebbe essere l’utilizzo chiavi di accesso, che combattono gli attacchi di phishing come il MFA bombing eliminando l'uso delle credenziali, che sono "la ricompensa che gli hacker cercano in definitiva", afferma.
Tuttavia, finché le passkey non verranno adottate, le aziende dovranno colmare la lacuna per “affrontare rapidamente le vulnerabilità e migliorare i metodi di autenticazione e i flussi di ripristino”, aggiunge Pobletts.
Per gli utenti iPhone che vogliono evitare di essere presi di mira dall'attuale ondata di bombardamenti MFA, KrebsOnSecurity ha suggerito di poter modificare il numero di telefono associato al proprio account in un numero VoIP, come quello di Skype o Google Voice, per evitare che gli aggressori possano accedervi. al loro numero di iPhone e quindi prendendo di mira loro. Ciò disabiliterà anche iMessage e FaceTime sul dispositivo, il che "potrebbe rappresentare un vantaggio per coloro che sono preoccupati di ridurre la superficie di attacco complessiva dei propri dispositivi Apple", ha aggiunto il sito.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
