Angripere retter seg mot Apple iPhone-brukere med et utslett av MFA bombeangrep som bruker en ubøyelig serie med legitime varsler om tilbakestilling av passord i det som ser ut til å være et forsøk på å overta iCloud-kontoene deres. Aktiviteten har rettet oppmerksomheten mot den utviklende naturen til såkalt multifaktorautentisering (MFA) bombeangrep.

En rapport fra informasjonssikkerhetsnettstedet KrebsOnSecurity fremhevet først kampanjen, som er rettet mot forretnings- og teknologisjefer. Rapporten siterte flere personer som hadde opplevd disse hendelsene nylig. Noen få sa at de hadde til og med mottatt "vishing" telefonsamtaler fra enkeltpersoner som utgir seg for å være Apple-støttepersonell som bruker et nummer som forfalsket Apples offisielle kundestøttelinje.

I samtaler med Dark Reading fordypet forskere seg i aktiviteten, og fremhevet nye bombetaktikker som ble brukt i kampanjen.

Tilbakestill passord Flood

Flommen for tilbakestilling av passord og telefonsamtaler så ut til å være et svært målrettet forsøk på å lure ofre til å bruke Apple-enhetene sine for å tilbakestille Apple-ID-en. Et offer som engasjerte seg med det antatte Apple-kundestøttepersonalet rapporterte å bli skremt av det meste "helt nøyaktiginformasjon som angriperne så ut til å ha om ham da han prøvde å undersøke deres troverdighet.

I et annet tilfelle rapporterte en person at push-varslene fortsatte med uforminsket styrke selv etter at han byttet ut sin gamle telefon med en ny iPhone, endret e-postadressen sin og opprettet en helt ny iCloud-konto. Et annet offer fortalte om å ha mottatt forespørslene om tilbakestilling av passord selv etter å ha aktivert en nøkkel utvinning for deres Apple-ID på forespørsel fra en Apple-støttetekniker. Apple har utpekt nøkkelen – en valgfri funksjon – som å hjelpe brukere bedre med å sikre kontoene sine og som å slå av Apples standard prosesser for gjenoppretting av passord.

Angriperens tilsynelatende evne til å sende dusinvis av tilbakestillingsforespørsler i løpet av kort tid førte til noen spørsmål om en potensiell feil i Apples tilbakestillingsmekanisme for passord for iCloud-kontoer, for eksempel et mulig "rate-limit"-problem som feilaktig tillater spam-nivåvolum på tilbakestille forespørsler.

Apple bekreftet eller avkreftet ikke de rapporterte angrepene. Den svarte heller ikke på Dark Readings spørsmål om angriperne kan utnytte en ikke avslørt feil i selskapets funksjon for tilbakestilling av passord. I stedet pekte en talsmann for selskapet til en støtteartikkel som Apple publiserte 23. februar, og ga råd til kunder om hvordan de kan oppdage og unngå phishing-meldinger, falske støtteanrop og annen svindel.

Talsmannen fremhevet deler av artikkelen som gjelder angripere som noen ganger bruker falsk oppringer-ID-informasjon for å forfalske telefonnumre og ofte hevder mistenkelig aktivitet på en konto eller enhet for å få brukere til å utføre uønskede handlinger. "Hvis du får en uoppfordret eller mistenkelig telefonsamtale fra noen som hevder å være fra Apple eller Apple Support, bare legg på," sa rådet.

MFA Bombing: An Evolving Cyber ​​Tactic

Multifaktorbombeangrep - også kjent som multifaktorutmattelsesangrep - er en sosial ingeniørutnyttelse der angripere oversvømmer et måls telefon, datamaskin eller e-postkonto med push-varsler for å godkjenne en pålogging eller tilbakestilling av passord. Tanken bak disse angrepene er å overvelde et mål med så mange andre-faktor-autentiseringsforespørsler at de til slutt godtar en enten feilaktig eller fordi de vil at varslene skal stoppe.

Vanligvis har disse angrepene involvert trusselaktørene først ulovlig å skaffe brukernavnet og passordet til en offerkonto og deretter bruke et bombe- eller utmattelsesangrep for å oppnå andrefaktorautentisering til kontoer beskyttet av MFA. I 2022, for eksempel, skaffet medlemmer av Lapsus$-trusselgruppen VPN-legitimasjonen for en person som jobber for en tredjepartsleverandør for Uber. De brukte deretter legitimasjonen til forsøk gjentatte ganger og logg inn på entreprenørens VPN-konto utløse en to-faktor autentiseringsforespørsel på entreprenørens telefon hver gang - som entreprenøren til slutt godkjente. Angriperne brukte deretter VPN-tilgangen til å bryte flere Uber-systemer.

Vrien i de nye MFA-bombeangrepene rettet mot Apple-brukere er at angriperne ikke ser ut til å bruke – eller engang krever – noe tidligere oppnådd brukernavn eller passord.

"I tidligere MFA-bombing ville angriperen ha kompromittert brukerens passord enten via phishing eller datalekkasje og deretter brukt det mange ganger til brukeren bekreftet MFA-push-varslingen," sier sikkerhetsforsker Matt Johansen. "I dette angrepet er alt hackeren har brukerens telefonnummer eller e-postadresse knyttet til en iCloud-konto, og de drar fordel av "glemt passord"-flyten på brukerens pålitelige enhet for å la tilbakestillingen av passordet gå gjennom. ”

Tilbakestillingen av passordet har en CAPTCHA på seg for å hjelpe til med å begrense tilbakestillingsforespørslene, sier Johansen. Men det ser ut til at angriperne lett omgår det, bemerker han. Det faktum at trusselaktørene forfalsker det legitime Apple Support-telefonnummeret og ringer brukeren samtidig som MFA-bombingen er en annen bemerkelsesverdig forskjell.

"Så brukeren er forvirret over at enheten deres blåser opp i MFA-forespørsler, og de blir oppringt fra et legitimt Apple-nummer som sier at de er her for å hjelpe, bare la dem få vite hvilken kode de har fått til telefonen. Jeg antar at dette er en taktikk med veldig høy suksessrate.»

Basert på tilgjengelig informasjon om angrepet er det sannsynlig at trusselaktørene går etter personer med høy formue, legger Johansen til. "Jeg mistenker at kryptosamfunnet ville bli hardest rammet, fra de første rapportene," sier han.

Jared Smith, en fremtredende ingeniør hos SecurityScorecard, sier at det er sannsynlig at angriperne ganske enkelt fyller ut Apples skjemaer for tilbakestilling av passord ved å bruke kjente Apple iCloud/Me.com-e-postadresser.

"Det vil tilsvare at jeg går til X/Twitter og kobler din personlige e-post til skjemaet for tilbakestilling av passord, håper eller vet at du bruker det for Twitter, og enten irriterer deg eller, hvis jeg var smart, har en måte å få tilbakestill koder fra deg." 

Han sier at det er sannsynlig at Apple undersøker massevarslingene som utløses og vurderer strengere hastighetsbegrensninger og DDoS-beskyttelsesmekanismer (Distributed Denial-of-Service). 

"Selv om trusselaktørene bruker bedre proxy-servere som tilbyr IP-er for boliger, ser de fortsatt ut til å sende et så stort antall forsøk at Apple kanskje vil legge til enda mer aggressive CAPTCHA-er" eller en innholdsleveringsnettverk (CDN)-basert beskyttelse , sier Smith.

"Avslå som standard"

Det blir helt klart at sterkere autentisering utover MFA kreves for å sikre enheter ettersom angripere finner nye måter å omgå det. For eksempel sikter trusselaktører for tiden Microsoft 365 og Gmail-e-postkontoer med phishing-kampanjer som bruker et MFA-bypass phishing-as-a-service (PhaaS)-sett distribuert via Telegram kalt Tycoon 2FA som får betydelig gjennomslag.

Dessuten er selve vishing i ferd med å bli en global cyberkriminell pandemi, med svært dyktige og organiserte aktører over hele verden som retter seg mot personer med kunnskap om deres personlige data. Faktisk, a rapport publisert i dag av Hiya fant at 28 % av alle ukjente anrop i 2023 var svindel eller spam, med et gjennomsnittlig tap på $2,300 XNUMX per bruker for de som tapte penger på disse angrepene.

MFA-bombing og lignende angrep "er en tøff påminnelse om at phishere i økende grad finner kreative måter å utnytte menneskets natur for å få tilgang til folks verdifulle kontoer, på jobb og hjemme," bemerker Anna Pobletts, leder for passordløs ved 1Password.

Hun foreslår en «avslå som standard»-tilnærming til enhver telefonsamtale eller annen type melding eller varsling som «virker det minste uvanlig», for eksempel en uønsket samtale fra kundeservice, selv om den ser ut til å komme fra en pålitelig enhet.

Likevel er ikke dette rådet den optimale løsningen, siden det "legger byrden av sikkerhet på brukerne," sier Pobletts. Faktisk kan den ultimate løsningen for MFA-omgåelse av angripere være i bruk passord, som bekjemper phishing-angrep som MFA-bombing ved å eliminere bruken av legitimasjon, som er "belønningen som hackere til slutt er ute etter," sier hun.

Men inntil adgangsnøkler blir tatt i bruk, vil selskaper måtte ta opp slakk for å "raskt adressere sårbarheter og forbedre autentiseringsmetoder og gjenopprettingsflyter," legger Pobletts til.

For iPhone-brukere som ønsker å unngå å bli målrettet av den nåværende bølgen av MFA-bombing, foreslo KrebsOnSecurity at de kan endre telefonnummeret knyttet til kontoen deres til et VoIP-nummer – for eksempel et fra Skype eller Google Voice – for å unngå at angripere har tilgang til deres iPhone-nummer og dermed målrette dem. Dette vil også deaktivere iMessage og Facetime på enheten, noe som "kan være en bonus for de som er bekymret for å redusere den totale angrepsoverflaten til Apple-enhetene deres," la nettstedet til.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users