Platão Inteligência de Dados.
Pesquisa Vertical e AI.

Cíber segurança

Supostos ataques de bombardeio do MFA têm como alvo usuários do iPhone da Apple

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 0

Os invasores têm como alvo os usuários do Apple iPhone com uma série de Ataques bombistas do MFA que usam uma série incessante de alertas legítimos de notificação de redefinição de senha no que parece ser uma tentativa de assumir o controle de suas contas iCloud. A actividade concentrou a atenção na natureza evolutiva dos chamados ataques de bombardeamento de autenticação multifactor (MFA).

Um relatório do site de segurança da informação KrebsOnSecurity destacou pela primeira vez a campanha, que tem como alvo executivos de negócios e tecnologia. O relatório citou vários indivíduos que sofreram esses incidentes recentemente. Alguns disseram que tinham até recebeu ligações “vishing” de indivíduos que se apresentavam como funcionários de suporte da Apple, usando um número que falsificava a linha oficial de suporte ao cliente da Apple.

Em conversas com Dark Reading, os pesquisadores se aprofundaram na atividade, destacando as novas táticas de bombardeio utilizadas na campanha.

Inundação de redefinição de senha

A inundação de redefinição de senha e as chamadas telefônicas pareciam ser uma tentativa altamente direcionada de enganar as vítimas para que usassem seus dispositivos Apple para redefinir seu ID Apple. Uma vítima que se envolveu com a suposta equipe de suporte ao cliente da Apple relatou ter ficado assustada com a maioria “totalmente preciso”informações que os invasores pareciam ter sobre ele enquanto ele tentava verificar sua credibilidade.

Em outro caso, um indivíduo relatou que as notificações push continuavam inabaláveis ​​mesmo depois de trocar seu telefone antigo por um novo iPhone, alterar seu endereço de e-mail e criar uma conta iCloud totalmente nova. Outra vítima relatou ter recebido solicitações de redefinição de senha mesmo depois de ativar um recuperação da chave para obter seu ID Apple a pedido de um engenheiro de suporte da Apple. A Apple elogiou a chave – um recurso opcional – por ajudar os usuários a proteger melhor suas contas e por desativar os processos padrão de recuperação de senha da Apple.

A aparente capacidade do invasor de enviar dezenas de solicitações de redefinição em um curto período de tempo levantou algumas questões sobre uma possível falha no mecanismo de redefinição de senha da Apple para contas iCloud, como um possível problema de “limite de taxa” que permite incorretamente volumes de nível de spam de redefinir solicitações.

A Apple não confirmou nem negou os ataques relatados. Também não respondeu à pergunta da Dark Reading sobre se os invasores poderiam estar aproveitando um bug não revelado no recurso de redefinição de senha da empresa. Em vez disso, um porta-voz da empresa apontou para um artigo de suporte publicado pela Apple em 23 de fevereiro, oferecendo conselhos aos clientes sobre como identificar e evite mensagens de phishing, chamadas de suporte falsas e outros golpes.

O porta-voz destacou seções do artigo relacionadas a invasores que às vezes usam informações falsas de identificação de chamadas para falsificar números de telefone e muitas vezes alegam atividades suspeitas em uma conta ou dispositivo para fazer com que os usuários realizem alguma ação indesejada. “Se você receber uma ligação não solicitada ou suspeita de alguém que afirma ser da Apple ou do suporte da Apple, basta desligar”, observou o conselho.

Bombardeio MFA: uma tática cibernética em evolução

Os ataques de bombardeio multifatorial – também conhecidos como ataques de fadiga multifatorial – são um exploração de engenharia social em que os invasores inundam o telefone, o computador ou a conta de e-mail de um alvo com notificações push para aprovar um login ou uma redefinição de senha. A ideia por trás desses ataques é sobrecarregar um alvo com tantas solicitações de autenticação de segundo fator que eles acabam aceitando uma por engano ou porque desejam que as notificações sejam interrompidas.

Normalmente, esses ataques envolveram os atores da ameaça, primeiro obtendo ilegalmente o nome de usuário e a senha da conta da vítima e, em seguida, usando um bombardeio ou ataque de fadiga para obter autenticação de segundo fator para contas protegidas pela MFA. Em 2022, por exemplo, membros do grupo de ameaças Lapsus$ obtiveram as credenciais VPN de um indivíduo que trabalhava para um fornecedor terceirizado da Uber. Eles então usaram as credenciais para tente repetidamente fazer login na conta VPN do contratante acionando sempre uma solicitação de autenticação de dois fatores no telefone do contratante – que o contratante finalmente aprovou. Os invasores então usaram o acesso VPN para violar vários sistemas do Uber.

A reviravolta nos novos ataques do MFA contra usuários da Apple é que os invasores não parecem estar usando – ou mesmo exigindo – qualquer nome de usuário ou senha obtidos anteriormente.

“No bombardeio anterior do MFA, o invasor teria comprometido a senha do usuário por meio de phishing ou vazamento de dados e depois usado muitas vezes até que o usuário confirmasse a notificação push do MFA”, diz o pesquisador de segurança Matt Johansen. “Neste ataque, tudo o que o hacker tem é o número de telefone ou endereço de e-mail do usuário associado a uma conta iCloud e eles estão aproveitando o fluxo de ‘esqueci a senha’ no dispositivo confiável do usuário para permitir a redefinição da senha. ”

A redefinição de senha possui um CAPTCHA para ajudar a limitar a taxa de solicitações de redefinição, diz Johansen. Mas parece que os invasores estão contornando isso facilmente, observa ele. O fato de os agentes da ameaça falsificarem o número de telefone legítimo do suporte da Apple e ligarem para o usuário ao mesmo tempo que o bombardeio do MFA é outra diferença notável.

“Então, o usuário fica confuso com o dispositivo explodindo em solicitações de MFA e recebe uma ligação de um número legítimo da Apple dizendo que está aqui para ajudar, basta informar qual código foi enviado para o telefone. Suponho que esta seja uma tática com uma taxa de sucesso muito alta.”

Com base nas informações disponíveis sobre o ataque, é provável que os atores da ameaça estejam perseguindo indivíduos com alto patrimônio líquido, acrescenta Johansen. “Suspeito que a comunidade criptográfica seria a mais atingida, a partir dos relatórios iniciais”, diz ele.

Jared Smith, engenheiro distinto da SecurityScorecard, diz que é provável que os invasores estejam simplesmente preenchendo os formulários de redefinição de senha da Apple com credenciais usando endereços de e-mail Apple iCloud/Me.com conhecidos.

“Seria o equivalente a eu ir ao X/Twitter e inserir seu e-mail pessoal no formulário de redefinição de senha, esperando ou sabendo que você o usa no Twitter, e irritando você ou, se eu fosse esperto, ter alguma maneira de obter o redefinir códigos de você. 

Ele diz que é provável que a Apple esteja examinando as notificações em massa que estão sendo acionadas e considerando mecanismos mais rigorosos de limitação de taxa e proteção contra negação de serviço distribuída (DDoS). 

“Mesmo que os agentes da ameaça estejam usando servidores proxy melhores que oferecem IPs residenciais, eles ainda parecem estar enviando um volume tão grande de tentativas que a Apple pode querer adicionar CAPTCHAs ainda mais agressivos” ou uma proteção baseada em rede de entrega de conteúdo (CDN). , Smith diz.

“Recusar por padrão”

Está ficando claro que uma autenticação mais forte além da MFA é necessária para proteger os dispositivos, à medida que os invasores encontram novas maneiras de contorná-la. Por exemplo, os agentes de ameaças têm atualmente como alvo Microsoft 365 e contas de e-mail do Gmail com campanhas de phishing usando um kit de phishing como serviço (PhaaS) de desvio de MFA distribuído via Telegram chamado Magnata 2FA isso está ganhando força significativa.

Além disso, vishing em si está se tornando um pandemia cibercriminosa global, com intervenientes altamente qualificados e organizados em todo o mundo, visando pessoas com conhecimento dos seus dados pessoais. Na verdade, um relatório publicado hoje por Hiya descobriram que 28% de todas as chamadas desconhecidas em 2023 eram fraude ou spam, com uma perda média de US$ 2,300 por usuário para aqueles que perderam dinheiro com esses ataques.

O bombardeio do MFA e ataques semelhantes “são um forte lembrete de que os phishers estão cada vez mais encontrando maneiras criativas de explorar a natureza humana para acessar contas valiosas das pessoas, no trabalho e em casa”, observa Anna Pobletts, chefe de senhas da 1Password.

Ela sugere uma abordagem de “recusa por padrão” para qualquer chamada telefônica ou outro tipo de mensagem ou alerta que “pareça um pouco incomum”, como uma chamada não solicitada do atendimento ao cliente, mesmo que pareça vir de uma entidade confiável.

Ainda assim, este conselho não é a solução ideal, pois “coloca o fardo da segurança sobre os utilizadores”, diz Pobletts. Na verdade, a solução definitiva para contornar a MFA pelos invasores pode estar no uso chaves de acesso, que combatem ataques de phishing, como o bombardeio MFA, eliminando o uso de credenciais, que são “a recompensa que os hackers buscam”, diz ela.

No entanto, até que as chaves de acesso sejam adotadas, as empresas terão que compensar para “resolver rapidamente as vulnerabilidades e melhorar os seus métodos de autenticação e fluxos de recuperação”, acrescenta Pobletts.

Para usuários do iPhone que desejam evitar ser alvo da atual onda de bombardeios do MFA, KrebsOnSecurity sugeriu que eles podem alterar o número de telefone associado à sua conta para um número VoIP – como um do Skype ou Google Voice – para evitar que invasores tenham acesso ao seu número de iPhone e, assim, direcioná-los. Isso também desativará o iMessage e o Facetime no dispositivo, o que “pode ser um bônus para aqueles preocupados em reduzir a superfície geral de ataque de seus dispositivos Apple”, acrescentou o site.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.

Fale Conosco

Olá! Como posso ajudá-lo?