攻撃者は Apple iPhone ユーザーを次々と狙っています。 MFA爆撃攻撃 これらは、iCloud アカウントを乗っ取ろうとしているように見える、正当なパスワード リセット通知アラートを容赦なく使用します。この活動は、いわゆる多要素認証 (MFA) 爆撃攻撃の進化する性質に注目を集めています。
情報セキュリティ Web サイト KrebsOnSecurity のレポートでは、企業および技術幹部をターゲットにしたこのキャンペーンが最初に取り上げられました。報告書は、最近これらの事件を経験した複数の個人の名前を引用している。数人は、さえ持っていると言いました 「訪問」電話を受けた Apple の公式カスタマー サポート ラインになりすました番号を使用して、Apple サポート スタッフを名乗る個人からの攻撃です。
ダーク・リーディングとの会話の中で、研究者らはこの活動を詳しく調べ、作戦で使用された新たな爆撃戦術について強調した。
パスワード リセットのフラッド
パスワードリセットの殺到と電話は、被害者をだまして自分の Apple デバイスを使用して Apple ID をリセットさせようとする、非常に的を絞った試みであるように見えました。 Apple のカスタマー サポート スタッフとされるスタッフと関わった被害者の 1 人は、ほとんどのことに驚いたと報告しています。完全に正確」攻撃者が信頼性を精査しようとして彼について持っていたと思われる情報。
別の例では、ある個人は、古い携帯電話を新しい iPhone に交換し、メール アドレスを変更し、新しい iCloud アカウントを作成した後でも、プッシュ通知が衰えることなく続いていると報告しました。別の被害者は、パスワードを有効にした後でもパスワードのリセット要求を受け取ったと語った。 キーリカバリ Apple サポート エンジニアのリクエストに応じて Apple ID を取得します。 Apple は、このキー (オプションの機能) がユーザーのアカウントの安全性を高め、Apple の標準のパスワード回復プロセスをオフにするのに役立つと宣伝しています。
攻撃者が短期間に数十件のリセットリクエストを送信できることは明らかであるため、スパムレベルの大量のパスワードを誤って許可する「レート制限」問題の可能性など、Apple の iCloud アカウントのパスワードリセットメカニズムに潜在的な欠陥があるのではないかといういくつかの疑問が生じました。リセット要求。
Appleは報告された攻撃を肯定も否定もしていない。また、攻撃者が同社のパスワードリセット機能にある未公開のバグを利用している可能性があるかどうかに関するDark Readingの質問にも回答しなかった。代わりに、同社の広報担当者は、Apple が 23 月 XNUMX 日に公開したサポート記事で、問題を特定する方法とその方法について顧客にアドバイスを提供していると指摘した。 フィッシングメッセージ、偽のサポート電話、その他の詐欺を回避します。.
広報担当者は記事の中で、攻撃者が時々偽の発信者番号情報を使用して電話番号を偽装したり、ユーザーに望ましくない行動を取らせるためにアカウントやデバイス上で不審なアクティビティが行われたと主張したりすることに関する記事のセクションを強調した。 「Apple または Apple サポートを名乗る人物から、一方的にまたは不審な電話を受けた場合は、すぐに電話を切ってください」とアドバイスには記載されています。
MFA 爆撃: 進化するサイバー戦術
多要素爆撃攻撃(多要素疲労攻撃とも呼ばれます)は、 ソーシャルエンジニアリングの悪用 この方法では、攻撃者はターゲットの電話、コンピュータ、または電子メール アカウントにプッシュ通知を大量に送信し、ログインまたはパスワードのリセットを承認します。これらの攻撃の背後にある考え方は、 ターゲットを圧倒する 非常に多くの 2 要素認証リクエストがあったため、最終的には誤って 1 つを受け入れたり、通知を停止したかったりしたためです。
通常、これらの攻撃では、攻撃者がまず被害者のアカウントのユーザー名とパスワードを違法に取得し、次に爆撃または疲労攻撃を使用して MFA で保護されているアカウントの 2022 要素認証を取得します。たとえば、XNUMX 年には、Lapsus$ 脅威グループのメンバーが、Uber のサードパーティ請負業者に勤務する個人の VPN 認証情報を取得しました。その後、彼らはその認証情報を使用して、 契約者の VPN アカウントへのログインを繰り返し試行する 請負業者の電話で毎回 2 要素認証リクエストをトリガーし、最終的に請負業者がこれを承認しました。その後、攻撃者は VPN アクセスを使用して複数の Uber システムに侵入しました。
Apple ユーザーを標的とした新たな MFA 爆撃攻撃の特徴は、攻撃者が以前に取得したユーザー名やパスワードを使用していないか、要求していないようだということです。
「以前のMFA爆撃では、攻撃者はフィッシングやデータ漏洩によってユーザーのパスワードを侵害し、ユーザーがMFAプッシュ通知を確認するまで何度もそのパスワードを使用していました」とセキュリティ研究者のマット・ヨハンセン氏は言う。 「この攻撃では、ハッカーが持っているのは iCloud アカウントに関連付けられたユーザーの電話番号または電子メール アドレスだけであり、ユーザーの信頼できるデバイス上でパスワードのリセットを許可するよう求める「パスワードを忘れた場合」フローを利用しています。 」
ヨハンセン氏によると、パスワードのリセットには、リセット要求のレート制限に役立つ CAPTCHA が含まれています。しかし、攻撃者はそれを簡単に回避しているようだと同氏は指摘する。脅威アクターが正規の Apple サポートの電話番号になりすまして、MFA 爆撃と同時にユーザーに電話をかけているという事実も、もう 1 つの注目すべき違いです。
「つまり、MFA リクエストでデバイスが爆発してユーザーが慌てふためいていると、正規の Apple 番号から電話がかかってきて、助けに来ましたので、自分の携帯電話にどのようなコードが送られてきたのか知らせてください、という内容の電話がかかってきました。これは非常に成功率の高い戦術だと思います。」
この攻撃に関する入手可能な情報に基づくと、攻撃者は富裕層を狙っている可能性が高いとヨハンセン氏は付け加えた。 「最初の報道からすると、仮想通貨コミュニティが最も大きな打撃を受けるのではないかと思います」と彼は言う。
SecurityScorecard の著名なエンジニアである Jared Smith 氏は、攻撃者は既知の Apple iCloud/Me.com メール アドレスを使用して Apple のパスワード リセット フォームに認証情報を入力しているだけである可能性が高いと述べています。
「それは、私がX/Twitterに行って、あなたの個人メールアドレスをパスワードリセットフォームに入力し、あなたがそれをTwitterに使用していることを期待して、あるいは知っていて、あなたを困らせるか、私が賢明であれば、パスワードを取得する何らかの方法を持っているのと同じことです。」あなたからコードをリセットしてください。」
同氏によると、Appleはトリガーされている大量通知を調査し、より厳格なレート制限と分散型サービス妨害(DDoS)保護メカニズムを検討している可能性が高いという。
「たとえ脅威アクターが住宅用 IP を提供するより優れたプロキシ サーバーを使用しているとしても、依然として大量の試行を送信しているようです。そのため、Apple はさらに攻撃的な CAPTCHA やコンテンツ配信ネットワーク (CDN) ベースの保護を追加したいと考えているのかもしれません」とスミスは言う。
「デフォルトで拒否」
攻撃者が認証をバイパスする新たな方法を見つけるにつれ、デバイスを保護するには MFA を超える強力な認証が必要であることがますます明らかになってきています。たとえば、攻撃者は現在次のターゲットを狙っています。 Microsoft 365 Telegram 経由で配布される MFA バイパス phishing-as-a-service (PhaaS) キットを使用したフィッシング キャンペーンを行う Gmail メール アカウント タイクーン 2FA それは大きな牽引力を得ています。
さらに、ビッシング自体が 世界的なサイバー犯罪のパンデミック、世界中の高度なスキルを備えた組織化された攻撃者が、個人データに関する知識を持つ人々をターゲットにしています。実際、 Hiya が本日発行したレポート は、28 年の不明な通話のうち 2023% が詐欺またはスパムであり、これらの攻撃によって金銭を失ったユーザーの平均損失はユーザー 2,300 人あたり XNUMX ドルであることが判明しました。
MFA 爆撃や同様の攻撃は、「フィッシング詐欺師が、職場や自宅で人々の貴重なアカウントにアクセスするために、人間の性質を悪用する独創的な方法をますます見つけていることを痛烈に思い出させます」と 1Password のパスワードレス部門責任者、Anna Pobletts 氏は述べています。
彼女は、顧客サービスからの一方的な電話など、「少しでも異常と思われる」電話やその他の種類のメッセージや警告に対しては、たとえそれが信頼できる組織からのものであるように見えても、「デフォルトで拒否する」アプローチを提案しています。
それでも、このアドバイスは「ユーザーにセキュリティの負担を課すことになる」ため、最適な解決策ではないとポブレッツ氏は言う。実際、攻撃者による MFA バイパスに対する究極の解決策は、 パスキー、 これは、「ハッカーが最終的に求める報酬」である資格情報の使用を排除することで、MFA 爆破などのフィッシング攻撃に対抗します。
しかし、パスキーが普及するまで、企業は「脆弱性に迅速に対処し、認証方法と回復フローを改善する」ために余裕を持たなければならないだろうとポブレッツ氏は付け加えた。
現在多発しているMFA爆撃の標的にされることを避けたいiPhoneユーザーに対し、KrebsOnSecurityは、アカウントに関連付けられている電話番号をSkypeやGoogle VoiceなどのVoIP番号に変更して、攻撃者がアクセスできないようにすることを提案した。ユーザーの iPhone 番号にアクセスして、ユーザーをターゲットにします。これにより、デバイス上の iMessage と Facetime も無効になるため、「Apple デバイス全体の攻撃対象領域を減らすことを懸念している人にとってはボーナスになるかもしれない」と同サイトは付け加えた。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
