תוקפים מכוונים למשתמשי Apple iPhone עם פריחה של פיגועי MFA שמשתמשים בסדרה בלתי פוסקת של התראות לגיטימיות לגבי איפוס סיסמה במה שנראה כניסיון להשתלט על חשבונות ה-iCloud שלהם. הפעילות מיקדה את תשומת הלב באופי המתפתח של מה שנקרא התקפות הפצצה של אימות רב-גורמי (MFA).
דיווח של אתר אבטחת המידע KrebsOnSecurity הדגיש לראשונה את הקמפיין, שמכוון למנהלי עסקים וטכנולוגיה. הדו"ח ציטט מספר אנשים שחוו את התקריות הללו לאחרונה. כמה אמרו שאפילו קיבלו שיחות טלפון "וישינג". מאנשים המתיימרים להיות צוות תמיכה של אפל באמצעות מספר שזייף את קו תמיכת הלקוחות הרשמי של אפל.
בשיחות עם Dark Reading, החוקרים התעמקו בפעילות והדגישו את טקטיקות ההפצצה החדשות בשימוש בקמפיין.
איפוס סיסמה Flood
ההצפה של איפוס הסיסמה ושיחות הטלפון נראו כניסיון ממוקד ביותר להערים על קורבנות להשתמש במכשירי אפל שלהם כדי לאפס את מזהה Apple שלהם. קורבן אחד שעסק בצוות תמיכת הלקוחות של אפל דיווח כי הוא נבהל בעיקר מ"מדויק לחלוטיןמידע שנראה היה לתוקפים לגביו כשניסה לבדוק את אמינותם.
במקרה אחר, אדם דיווח על הודעות הדחיפה כממשיכה ללא הפוגה גם לאחר שהחליף את הטלפון הישן שלו באייפון חדש, שינה את כתובת האימייל שלו ויצר חשבון iCloud חדש לגמרי. קורבן אחר סיפר שקיבל את הבקשות לאיפוס הסיסמה גם לאחר הפעלת א התאוששות מפתח עבור Apple ID שלהם לבקשת מהנדס תמיכה של Apple. אפל הציגה את המפתח - תכונה אופציונלית - כמסייע למשתמשים לאבטח טוב יותר את חשבונותיהם וככיבוי תהליכי שחזור סיסמאות סטנדרטיים של אפל.
היכולת לכאורה של התוקף לשלוח עשרות בקשות איפוס בפרק זמן קצר עוררה כמה שאלות של תקלה אפשרית במנגנון איפוס הסיסמה של אפל עבור חשבונות iCloud, כמו בעיה אפשרית של "מגבלת קצב" המאפשרת באופן שגוי נפחים ברמת דואר זבל של לאפס בקשות.
אפל לא אישרה או הכחישה את המתקפות המדווחות. הוא גם לא הגיב לשאלת Dark Reading האם התוקפים עשויים למנף באג לא ידוע בתכונת איפוס הסיסמה של החברה. במקום זאת, דובר החברה הצביע על מאמר תמיכה שפרסמה אפל ב-23 בפברואר המציע עצות ללקוחות כיצד לזהות הימנע מהודעות דיוג, שיחות תמיכה מזויפות והונאות אחרות.
הדובר הדגיש חלקים במאמר הנוגעים לתוקפים שמשתמשים לפעמים בפרטי מתקשר מזויפים כדי לזייף מספרי טלפון ולעיתים קרובות טוענים לפעילות חשודה בחשבון או במכשיר כדי לגרום למשתמשים לבצע פעולה לא רצויה כלשהי. "אם אתה מקבל שיחת טלפון לא רצויה או חשודה ממישהו שטוען שהוא מתמיכה של אפל או אפל, פשוט נתק", צוין העצה.
הפצצת MFA: טקטיקת סייבר מתפתחת
התקפות הפצצה רב-גורמיות - המכונה גם התקפות עייפות רב-גורמיות - הן א ניצול הנדסה חברתית שבהם תוקפים מציפים את הטלפון, המחשב או חשבון האימייל של יעד בהודעות דחיפה כדי לאשר כניסה או איפוס סיסמה. הרעיון מאחורי ההתקפות הללו הוא להציף מטרה עם כל כך הרבה בקשות אימות של גורם שני שהם בסופו של דבר מקבלים אחת בטעות או בגלל שהם רוצים שההודעות ייפסקו.
בדרך כלל, התקפות אלו כללו שחקני האיום בהשגת תחילה באופן לא חוקי את שם המשתמש והסיסמה לחשבון הקורבן ולאחר מכן שימוש בהפצצה או התקפת עייפות כדי להשיג אימות גורם שני לחשבונות המוגנים על ידי MFA. בשנת 2022, למשל, חברי קבוצת האיומים Lapsus$ השיגו את אישורי ה-VPN עבור אדם שעובד עבור קבלן צד שלישי עבור Uber. לאחר מכן הם השתמשו באישורים כדי נסה שוב ושוב להיכנס לחשבון ה-VPN של הקבלן הפעלת בקשת אימות דו-גורמי בטלפון של הקבלן בכל פעם - מה שהקבלן אישר בסופו של דבר. התוקפים השתמשו אז בגישה ל-VPN כדי לפרוץ מערכות Uber מרובות.
הטוויסט בהתקפות ההפצצה החדשות של MFA נגד משתמשי אפל הוא שנראה שהתוקפים אינם משתמשים - או אפילו דורשים - כל שם משתמש או סיסמה שהושגו בעבר.
"בהפצצות MFA קודמות, התוקף היה מסכן את הסיסמה של המשתמש באמצעות פישינג או דליפת נתונים ולאחר מכן משתמש בה פעמים רבות עד שהמשתמש אישר את הודעת הדחיפה של MFA", אומר חוקר האבטחה מאט ג'והנסן. "בהתקפה זו, כל מה שיש להאקר הוא מספר הטלפון או כתובת הדוא"ל של המשתמש המשויכים לחשבון iCloud והם מנצלים את זרימת ההנחיה של 'שכחתי סיסמה' במכשיר המהימן של המשתמש כדי לאפשר לאיפוס הסיסמה לעבור. ”
לאיפוס הסיסמה יש CAPTCHA כדי לעזור להגביל את בקשות האיפוס, אומר יוהנסן. אבל נראה שהתוקפים עוקפים את זה בקלות, הוא מציין. העובדה ששחקני האיום מזייפים את מספר הטלפון הלגיטימי של Apple Support ומתקשרים למשתמש במקביל להפצצת ה-MFA היא הבדל בולט נוסף.
"אז, המשתמש מבולבל מהמכשיר שלו מתפוצץ בבקשות MFA והם מקבלים טלפון ממספר לגיטימי של אפל שאומר שהם כאן כדי לעזור, רק יידע אותם איזה קוד הוא נשלח לטלפון שלו. אני מנחש שזו טקטיקה עם אחוזי הצלחה גבוהים מאוד".
בהתבסס על מידע זמין על המתקפה, סביר להניח ששחקני האיום רודפים אחרי אנשים בעלי ערך גבוה, מוסיף יוהנסן. "אני חושד שקהילת הקריפטו תיפגע הכי קשה, מדיווחים ראשוניים", הוא אומר.
ג'ארד סמית', מהנדס מובהק ב-SecurityScorecard, אומר שסביר להניח שהתוקפים פשוט ממלאים את טופסי איפוס הסיסמה של אפל באמצעות כתובות דוא"ל מוכרות של Apple iCloud/Me.com.
"זה יהיה שווה ערך לזה שאני הולך ל-X/Twitter ומחבר את האימייל האישי שלך לטופס איפוס הסיסמה, מקווה או יודע שאתה משתמש בו עבור טוויטר, או מעצבן אותך או, אם הייתי חכם, יש דרך כלשהי להשיג את אפס קודים ממך."
לדבריו, סביר להניח שאפל בוחנת את ההודעות ההמוניות המופעלות ושוקלת מחמירות יותר של הגבלת תעריפים ומנגנוני הגנה מבוזרים של מניעת שירות (DDoS).
"גם אם שחקני האיום משתמשים בשרתי פרוקסי טובים יותר שמציעים כתובות IP למגורים, נראה שהם עדיין שולחים נפח כל כך גדול של ניסיונות שאולי תרצה להוסיף עוד יותר CAPTCHAs אגרסיביים" או הגנה מבוססת רשת מסירת תוכן (CDN) , אומר סמית.
"דחה כברירת מחדל"
מתברר בבירור שנדרש אימות חזק יותר מעבר ל-MFA כדי לאבטח מכשירים מכיוון שתוקפים מוצאים דרכים חדשות לעקוף אותו. לדוגמה, גורמי איומים מכוונים כעת Microsoft 365 וחשבונות דוא"ל של Gmail עם מסעות פרסום דיוג המשתמשים בערכת MFA לעקוף דיוג כשירות (PhaaS) המופצת באמצעות טלגרם בשם Tycoon 2FA זה צובר אחיזה משמעותית.
יתר על כן, הווישינג עצמו הופך להיות א מגפת פושעי סייבר עולמית, עם שחקנים מיומנים ומאורגנים ברחבי העולם המכוונים לאנשים עם ידע על הנתונים האישיים שלהם. למעשה, א דו"ח שפורסם היום על ידי הייא מצא כי 28% מכל השיחות הלא ידועות בשנת 2023 היו הונאה או דואר זבל, עם הפסד ממוצע של 2,300 דולר למשתמש עבור אלה שהפסידו כסף בהתקפות אלו.
הפצצות של MFA והתקפות דומות "הם תזכורת קשה לכך שדיוגים מוצאים יותר ויותר דרכים יצירתיות לנצל את הטבע האנושי כדי לגשת לחשבונות יקרי ערך של אנשים, בעבודה ובבית", מציינת אנה פובלטס, ראש תחום חסרי סיסמאות ב-1Password.
היא מציעה גישת "דחיה כברירת מחדל" לכל שיחת טלפון או סוג אחר של הודעה או התראה ש"נראית מעט חריגה", כמו שיחה לא רצויה משירות לקוחות, גם אם נראה שהיא מגיעה מגורם מהימן.
ובכל זאת, עצה זו אינה הפתרון האופטימלי מכיוון שהיא "מטילה את נטל האבטחה על המשתמשים", אומר פובלטס. ואכן, הפתרון האולטימטיבי לעקוף MFA על ידי תוקפים עשוי להיות בשימוש passkeys, which combat phishing attacks like MFA bombing by eliminating the use of credentials, which are “the reward that hackers are ultimately after,” she says.
עם זאת, עד שמפתחות סיסמה יתקבלו, חברות יצטרכו להרים את הקצב כדי "לטפל במהירות בפרצות ולשפר את שיטות האימות ותזרימי השחזור שלהן", מוסיף פובלטס.
עבור משתמשי אייפון שרוצים להימנע מלהיות מטרה על ידי שטף ההפצצות הנוכחי של MFA, KrebsOnSecurity הציע שהם יכולים לשנות את מספר הטלפון המשויך לחשבון שלהם למספר VoIP - כמו אחד מסקייפ או Google Voice - כדי למנוע גישה לתוקפים למספר האייפון שלהם ובכך למקד אותם. זה גם ישבית את iMessage ו-Facetime במכשיר, מה ש"עשוי להיות בונוס למי שמודאג מהקטנת משטח ההתקפה הכולל של מכשירי אפל שלהם", הוסיף האתר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
