Atakujący atakują użytkowników Apple iPhone za pomocą wysypki Ataki bombowe MSZ które wykorzystują nieustanną serię uzasadnionych powiadomień o zresetowaniu hasła, co wydaje się być próbą przejęcia ich kont iCloud. Działanie to skupiło uwagę na ewoluującym charakterze ataków bombowych z wykorzystaniem tzw. uwierzytelniania wieloczynnikowego (MFA).
W raporcie witryny internetowej KrebsOnSecurity poświęconej bezpieczeństwu informacji po raz pierwszy zwrócono uwagę na kampanię skierowaną do dyrektorów biznesowych i technologicznych. W raporcie przytoczono informacje o wielu osobach, które niedawno doświadczyły takich incydentów. Kilku stwierdziło, że nawet odbierał telefony typu „vishing”. od osób podających się za pracowników pomocy technicznej Apple, używając numeru, który sfałszował oficjalną linię obsługi klienta Apple.
W rozmowach z Dark Reading badacze zagłębili się w tę działalność, podkreślając nową taktykę bombardowań zastosowaną w kampanii.
Powódź resetowania hasła
Próba resetowania hasła i rozmowy telefoniczne wydawały się ściśle ukierunkowaną próbą nakłonienia ofiar do użycia urządzeń Apple w celu zresetowania identyfikatora Apple ID. Jedna z ofiar, która nawiązała kontakt z rzekomym personelem obsługi klienta Apple, zgłosiła, że była zaskoczona głównie „całkowicie dokładne” informacje, które napastnicy najwyraźniej posiadali na jego temat, gdy próbował sprawdzić ich wiarygodność.
W innym przypadku osoba zgłosiła, że powiadomienia push nie słabną nawet po wymianie starego telefonu na nowy iPhone, zmianie adresu e-mail i utworzeniu zupełnie nowego konta iCloud. Inna ofiara opowiada, że otrzymywała prośby o zresetowanie hasła nawet po włączeniu opcji klucz odzyskiwania o swój Apple ID na prośbę inżyniera wsparcia Apple. Firma Apple reklamowała klucz – opcjonalną funkcję – jako pomagającą użytkownikom lepiej zabezpieczyć ich konta i wyłączającą standardowe procesy odzyskiwania hasła firmy Apple.
Widoczna zdolność osoby atakującej do wysyłania dziesiątek żądań resetowania w krótkim czasie zrodziła pytania dotyczące potencjalnej usterki w mechanizmie resetowania haseł Apple dla kont iCloud, takiej jak możliwy problem z „limitem szybkości”, który nieprawidłowo dopuszcza wolumeny spamu na poziomie zresetować żądania.
Apple nie potwierdził ani nie zaprzeczył zgłoszonym atakom. Nie odpowiedziała także na pytanie Dark Reading, czy napastnicy mogą wykorzystać nieujawniony błąd w firmowej funkcji resetowania hasła. Zamiast tego rzecznik firmy wskazał na artykuł pomocy opublikowany przez firmę Apple 23 lutego, w którym zawierał porady dla klientów, jak wykryć i unikaj wiadomości typu phishing, fałszywych połączeń z pomocą techniczną i innych oszustw.
Rzecznik podkreślił fragmenty artykułu dotyczące osób atakujących, które czasami wykorzystują fałszywe dane identyfikacyjne rozmówcy do fałszowania numerów telefonów i często zgłaszają podejrzaną aktywność na koncie lub urządzeniu, aby skłonić użytkowników do podjęcia niepożądanych działań. „Jeśli otrzymasz niechciany lub podejrzany telefon od osoby podającej się za pracownika Apple lub dział wsparcia Apple, po prostu się rozłącz” – napisano w radzie.
Bombardowanie MSZ: ewoluująca taktyka cybernetyczna
Ataki bombardowań wieloczynnikowych – znane również jako ataki zmęczenia wieloczynnikowego – to: exploit socjotechniczny w której napastnicy zaleją telefon, komputer lub konto e-mail celu powiadomieniami push w celu zatwierdzenia loginu lub zresetowania hasła. Ideą tych ataków jest pokonać cel przy tak dużej liczbie żądań uwierzytelnienia drugiego stopnia, że w końcu jedno z nich akceptują przez pomyłkę lub dlatego, że chcą, aby powiadomienia przestały być wysyłane.
Zazwyczaj ataki te polegały na tym, że ugrupowania zagrażające najpierw nielegalnie uzyskały nazwę użytkownika i hasło do konta ofiary, a następnie wykorzystały atak bombowy lub atak zmęczeniowy w celu uzyskania uwierzytelnienia drugiego stopnia na kontach chronionych przez usługę MFA. Na przykład w 2022 r. członkowie grupy zagrożeń Lapsus$ uzyskali dane uwierzytelniające VPN dla osoby pracującej dla zewnętrznego wykonawcy dla Ubera. Następnie wykorzystali dane uwierzytelniające do wielokrotnie próbuj zalogować się na konto VPN kontrahenta każdorazowe uruchamianie żądania uwierzytelnienia dwuskładnikowego na telefonie kontrahenta – na co wykonawca ostatecznie wyraził zgodę. Następnie napastnicy wykorzystali dostęp VPN do włamania się do wielu systemów Ubera.
Charakterystyczną cechą nowych ataków bombowych MFA wymierzonych w użytkowników Apple jest to, że wygląda na to, że napastnicy nie używają ani nawet nie wymagają żadnej wcześniej uzyskanej nazwy użytkownika ani hasła.
„W poprzednim zamachu bombowym MFA osoba atakująca złamałaby hasło użytkownika w drodze phishingu lub wycieku danych, a następnie używała go wiele razy, dopóki użytkownik nie potwierdził powiadomienia push MFA” – mówi badacz bezpieczeństwa Matt Johansen. „W tym ataku haker ma jedynie numer telefonu lub adres e-mail użytkownika powiązany z kontem iCloud i wykorzystuje komunikat „Zapomniałem hasła” na zaufanym urządzeniu użytkownika, aby umożliwić zresetowanie hasła. ”
Johansen mówi, że resetowanie hasła obejmuje funkcję CAPTCHA, która pomaga ograniczyć liczbę żądań resetowania. Jednak wygląda na to, że napastnicy z łatwością to omijają – zauważa. Kolejną zauważalną różnicą jest fakt, że ugrupowania zagrażające fałszują legalny numer telefonu pomocy technicznej Apple i dzwonią do użytkownika w tym samym czasie, gdy doszło do zamachu bombowego MFA.
„Tak więc użytkownik jest zdenerwowany, gdy na jego urządzeniu pojawiają się żądania MFA, i otrzymuje telefon z legalnego numeru Apple, w którym informuje, że jest tu, aby mu pomóc. Wystarczy, że poinformuje go, jaki kod został wysłany na jego telefon. Zgaduję, że jest to taktyka o bardzo wysokim wskaźniku sukcesu.”
Na podstawie dostępnych informacji na temat ataku prawdopodobne jest, że ugrupowania zagrażające atakują zamożne osoby – dodaje Johansen. „Sądząc ze wstępnych raportów, podejrzewam, że społeczność kryptograficzna ucierpi najbardziej” – mówi.
Jared Smith, wybitny inżynier w firmie SecurityScorecard, twierdzi, że napastnicy po prostu wpychają dane uwierzytelniające formularze resetowania hasła firmy Apple, korzystając ze znanych adresów e-mail Apple iCloud/Me.com.
„Byłoby to równoznaczne z wejściem na X/Twittera i podłączeniem Twojego osobistego adresu e-mail do formularza resetowania hasła, mając nadzieję lub wiedząc, że używasz go na Twitterze, i albo Cię denerwowałem, albo, gdybym był mądry, mając jakiś sposób na uzyskanie hasła zresetować kody od Ciebie.”
Mówi, że prawdopodobne jest, że Apple bada wyzwalanie masowych powiadomień i rozważa bardziej rygorystyczne mechanizmy ograniczania szybkości transmisji i ochrony przed rozproszoną odmową usługi (DDoS).
„Nawet jeśli ugrupowania zagrażające korzystają z lepszych serwerów proxy oferujących domowe adresy IP, nadal wydaje się, że wysyłają tak dużą liczbę prób, że Apple może chcieć dodać jeszcze bardziej agresywne kody CAPTCHA” lub ochronę opartą na sieci dostarczania treści (CDN) – mówi Smith.
„Domyślnie odrzuć”
Staje się całkowicie jasne, że do zabezpieczenia urządzeń wymagane jest silniejsze uwierzytelnianie wykraczające poza MFA, ponieważ atakujący znajdują nowe sposoby na jego ominięcie. Na przykład obecnie celem są ugrupowania zagrażające Microsoft 365 i konta e-mail Gmail z kampaniami phishingowymi przy użyciu zestawu Phishing jako usługi (PhaaS) z obejściem MFA rozpowszechnianego za pośrednictwem Telegramu o nazwie Tycoon 2FA to zyskuje znaczną popularność.
Co więcej, vishing sam w sobie staje się globalna pandemia cyberprzestępcza, w którym wysoko wykwalifikowani i zorganizowani uczestnicy na całym świecie atakują osoby posiadające wiedzę na temat ich danych osobowych. W rzeczywistości A raport opublikowany dzisiaj przez Hiya wykazało, że 28% wszystkich nieznanych połączeń w 2023 r. stanowiło oszustwo lub spam, a średnia strata wynosząca 2,300 dolarów na użytkownika w przypadku tych, którzy stracili pieniądze w wyniku tych ataków.
Zamachy bombowe MFA i podobne ataki „dobitnie przypominają, że phisherzy coraz częściej znajdują kreatywne sposoby wykorzystania ludzkiej natury w celu uzyskania dostępu do cennych kont w pracy i w domu” – zauważa Anna Pobletts, szefowa ds. rozwiązań bezhasłowych w 1Password.
Sugeruje podejście „domyślnie odrzucaj” w przypadku każdego połączenia telefonicznego lub innego rodzaju wiadomości lub alertu, który „wydaje się choć trochę nietypowy”, na przykład niechciane połączenie z działu obsługi klienta, nawet jeśli wydaje się, że pochodzi od zaufanej jednostki.
Mimo to ta rada nie jest optymalnym rozwiązaniem, ponieważ „przekłada ciężar bezpieczeństwa na użytkowników” – mówi Pobletts. Rzeczywiście, może być stosowane najlepsze rozwiązanie obejścia MFA przez atakujących klucze, które zwalczają ataki phishingowe, takie jak bombardowania MFA, eliminując użycie danych uwierzytelniających, które są „nagrodą, o którą ostatecznie walczą hakerzy” – mówi.
Jednak do czasu wprowadzenia kluczy dostępu firmy będą musiały nadrobić zaległości, aby „szybko wyeliminować luki w zabezpieczeniach i ulepszyć metody uwierzytelniania oraz procesy odzyskiwania danych” – dodaje Pobletts.
Użytkownikom iPhone'a, którzy chcą uniknąć obecnej fali bombardowań MFA, KrebsOnSecurity zasugerował, że mogą zmienić numer telefonu powiązany z ich kontem na numer VoIP — na przykład numer ze Skype'a lub Google Voice — aby uniemożliwić atakującym dostęp do ich numeru iPhone'a i w ten sposób do nich dotrzeć. Spowoduje to również wyłączenie usług iMessage i Facetime na urządzeniu, co „może być zaletą dla osób zainteresowanych zmniejszeniem ogólnej powierzchni ataku na swoich urządzeniach Apple” – dodała witryna.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
