Suspecte de atacuri cu bombă MFA vizează utilizatorii Apple iPhone

Atacatorii vizează utilizatorii Apple iPhone cu o erupție Atacurile cu bombă ale MAE care folosesc o serie necruțătoare de alerte legitime de notificare de resetare a parolei în ceea ce pare a fi o încercare de a prelua conturile lor iCloud. Activitatea a concentrat atenția asupra naturii în evoluție a așa-numitelor atacuri cu bombă cu autentificare multifactor (MFA).

Un raport al site-ului de securitate a informațiilor KrebsOnSecurity a evidențiat mai întâi campania, care vizează directorii de afaceri și de tehnologie. Raportul a citat mai multe persoane care au experimentat aceste incidente recent. Câțiva au spus că au chiar a primit apeluri telefonice „vishing”. de la persoane care se pretind a fi personal de asistență Apple, folosind un număr care a falsificat linia oficială de asistență pentru clienți a Apple.

În conversațiile cu Dark Reading, cercetătorii au analizat activitatea, subliniind noile tactici de bombardare folosite în campanie.

Resetare parolă Flood

Flood de resetare a parolei și apelurile telefonice au părut a fi o încercare foarte țintită de a păcăli victimele să-și folosească dispozitivele Apple pentru a-și reseta ID-ul Apple. O victimă care s-a implicat cu presupusul personal de asistență pentru clienți Apple a raportat că a fost surprinsă de cele mai multe „total exacte” informații pe care atacatorii păreau să le dețină despre el în timp ce încerca să verifice credibilitatea lor.

Într-un alt caz, o persoană a raportat că notificările push continuă, chiar și după ce și-a schimbat vechiul telefon cu un nou iPhone, și-a schimbat adresa de e-mail și și-a creat un cont iCloud nou-nouț. O altă victimă a povestit că a primit solicitările de resetare a parolei chiar și după activarea a cheie de recuperare pentru ID-ul lor Apple, la cererea unui inginer de asistență Apple. Apple a promovat cheia – o caracteristică opțională – ca ajută utilizatorii să-și securizeze mai bine conturile și ca dezactivează procesele standard de recuperare a parolelor Apple.

Capacitatea aparentă a atacatorului de a trimite zeci de solicitări de resetare într-o perioadă scurtă de timp a generat câteva întrebări cu privire la o potențială eroare în mecanismul de resetare a parolei Apple pentru conturile iCloud, cum ar fi o posibilă problemă de „limită de rată” care permite în mod incorect volume de spam la nivel de spam. cereri de resetare.

Apple nu a confirmat sau infirmat atacurile raportate. Nici nu a răspuns la întrebarea lui Dark Reading despre dacă atacatorii ar putea folosi o eroare nedezvăluită în funcția de resetare a parolei a companiei. În schimb, un purtător de cuvânt al companiei a subliniat un articol de asistență pe care Apple l-a publicat pe 23 februarie, oferind sfaturi clienților despre cum să identifice și evitați mesajele de phishing, apelurile de asistență false și alte înșelătorii.

Purtătorul de cuvânt a evidențiat secțiuni ale articolului referitoare la atacatorii care folosesc uneori informații false de identificare a apelantului pentru a falsifica numerele de telefon și susțin adesea activitate suspectă pe un cont sau pe un dispozitiv pentru a-i determina pe utilizatori să ia măsuri nedorite. „Dacă primiți un apel telefonic nesolicitat sau suspect de la cineva care pretinde că este de la Apple sau Apple Support, închideți”, se menționa sfatul.

Bombardarea MFA: o tactică cibernetică în evoluție

Atacurile cu bombă multifactoriale – cunoscute și sub denumirea de atacuri de oboseală multifactorială – sunt a exploatare de inginerie socială în care atacatorii inundă telefonul, computerul sau contul de e-mail al unei ținte cu notificări push pentru a aproba o autentificare sau o resetare a parolei. Ideea din spatele acestor atacuri este să copleși o țintă cu atât de multe solicitări de autentificare de al doilea factor încât în cele din urmă acceptă una fie din greșeală, fie pentru că doresc ca notificările să se oprească.

În mod obișnuit, aceste atacuri au implicat actorii amenințărilor să obțină mai întâi ilegal numele de utilizator și parola pentru un cont de victimă și apoi să folosească un atac cu bombă sau oboseală pentru a obține autentificarea de al doilea factor la conturile protejate de MFA. În 2022, de exemplu, membrii grupului de amenințări Lapsus$ au obținut acreditările VPN pentru o persoană care lucrează pentru un contractant terță parte pentru Uber. Apoi au folosit acreditările pentru încercați în mod repetat să vă conectați la contul VPN al contractorului declanșarea unei cereri de autentificare cu doi factori pe telefonul contractantului de fiecare dată - pe care contractorul a aprobat-o în cele din urmă. Atacatorii au folosit apoi accesul VPN pentru a încălca mai multe sisteme Uber.

Întorsătura noilor atacuri cu bombă MFA care vizează utilizatorii Apple este că atacatorii nu par să folosească – sau chiar să solicite – niciun nume de utilizator sau parolă obținute anterior.

„În atacul anterior MFA, atacatorul ar fi compromis parola utilizatorului fie prin phishing, fie prin scurgere de date și apoi ar fi folosit-o de mai multe ori până când utilizatorul a confirmat notificarea push MFA”, spune cercetătorul de securitate Matt Johansen. „În acest atac, tot ce are hackerul este numărul de telefon sau adresa de e-mail a utilizatorului asociată unui cont iCloud și profită de fluxul de mesaje „parola uitată” de pe dispozitivul de încredere al utilizatorului pentru a permite resetarea parolei. ”

Resetarea parolei are un CAPTCHA pe ea pentru a ajuta la limitarea ratei cererilor de resetare, spune Johansen. Dar se pare că atacatorii ocolesc cu ușurință asta, notează el. Faptul că actorii amenințărilor falsifică numărul de telefon legitim de asistență Apple și apelează utilizatorul în același timp cu atentatul MFA este o altă diferență notabilă.

„Așadar, utilizatorul este nemulțumit de faptul că dispozitivul său explodează în solicitările MFA și primește un apel de la un număr Apple legitim spunându-i că sunt aici pentru a-i ajuta, doar anunță-i ce cod a primit pe telefonul său. Bănuiesc că aceasta este o tactică de succes foarte mare.”

Pe baza informațiilor disponibile despre atac, este probabil ca actorii amenințărilor să urmărească persoane cu valoare netă mare, adaugă Johansen. „Bănuiesc că comunitatea cripto ar fi cea mai grav afectată, din rapoartele inițiale”, spune el.

Jared Smith, inginer distins la SecurityScorecard, spune că este probabil ca atacatorii să umple pur și simplu cu acreditări formularele Apple de resetare a parolei folosind adresele de e-mail cunoscute Apple iCloud/Me.com.

„Ar fi echivalentul faptului că mă duc la X/Twitter și îți conectez e-mailul personal în formularul de resetare a parolei, sperând sau știind că îl folosești pentru Twitter și fie să te enervez, fie, dacă aș fi inteligent, să am vreo modalitate de a obține resetează codurile de la tine.”

El spune că este probabil ca Apple să examineze notificările în masă declanșate și să ia în considerare mecanisme de protecție mai stricte de limitare a ratei și de refuzare a serviciului distribuit (DDoS).

„Chiar dacă actorii amenințărilor folosesc servere proxy mai bune care oferă IP-uri rezidențiale, totuși par să trimită un volum atât de mare de încercări încât Apple ar putea dori să adauge CAPTCHA-uri și mai agresive” sau o protecție bazată pe rețea de livrare a conținutului (CDN). , spune Smith.

„Refuzați implicit”

Devine foarte clar că este necesară o autentificare mai puternică dincolo de MFA pentru a securiza dispozitivele, deoarece atacatorii găsesc noi modalități de a o ocoli. De exemplu, actorii amenințărilor vizează în prezent Microsoft 365 și conturi de e-mail Gmail cu campanii de phishing care utilizează un kit MFA-bypass phishing-as-a-service (PhaaS) distribuit prin Telegram numit Tycoon 2FA care capătă o tracțiune semnificativă.

Mai mult, vishing-ul în sine devine un pandemie cibernetică globală, cu actori înalt calificați și organizați din întreaga lume care vizează persoane care cunosc datele lor personale. De fapt, a raport publicat astăzi de Hiya a constatat că 28% din toate apelurile necunoscute în 2023 au fost fraude sau spam, cu o pierdere medie de 2,300 USD per utilizator pentru cei care au pierdut bani din cauza acestor atacuri.

Atacurile cu bombă MFA și atacurile similare „sunt o reamintire dură că phishingii găsesc din ce în ce mai multe modalități creative de a exploata natura umană pentru a accesa conturile valoroase ale oamenilor, la serviciu și acasă”, notează Anna Pobletts, șeful departamentului fără parolă la 1Password.

Ea sugerează o abordare „refuzată în mod implicit” pentru orice apel telefonic sau alt tip de mesaj sau alertă care „pare cel mai puțin neobișnuit”, cum ar fi un apel nesolicitat de la serviciul pentru clienți, chiar dacă pare să provină de la o entitate de încredere.

Cu toate acestea, acest sfat nu este soluția optimă, deoarece „pune povara securității asupra utilizatorilor”, spune Pobletts. Într-adevăr, soluția finală pentru ocolirea MFA de către atacatori poate fi în utilizare chei de acces, care luptă împotriva atacurilor de tip phishing, cum ar fi bombardarea MFA prin eliminarea utilizării acreditărilor, care sunt „recompensa pe care o urmăresc hackerii în cele din urmă”, spune ea.

Cu toate acestea, până când cheile de acces vor fi adoptate, companiile vor trebui să-și ia mâna pentru a „aborda rapid vulnerabilitățile și a-și îmbunătăți metodele de autentificare și fluxurile de recuperare”, adaugă Pobletts.

Pentru utilizatorii de iPhone care doresc să evite să fie vizați de valul actual de bombardamente MFA, KrebsOnSecurity a sugerat că pot schimba numărul de telefon asociat contului lor la un număr VoIP - cum ar fi unul de la Skype sau Google Voice - pentru a evita ca atacatorii să aibă acces. la numărul lor de iPhone și, astfel, țintindu-i. Acest lucru va dezactiva, de asemenea, iMessage și Facetime pe dispozitiv, ceea ce „ar putea un bonus pentru cei preocupați de reducerea suprafeței totale de atac a dispozitivelor lor Apple”, a adăugat site-ul.

Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
Sursa: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users

Inteligența datelor Platon.
Căutare verticală și Ai.

Suspectate atacuri cu bombă MFA vizează utilizatorii Apple iPhone

Resetare parolă Flood

Bombardarea MFA: o tactică cibernetică în evoluție

„Refuzați implicit”

Un angajat al băncii deturnează contul unui client mort și dă 105,000 de dolari din schema de bani morbide: DOJ – The Daily Hodl

Internet Computer ($ICP) Fondator: „95% dintre blockchain-urile de acolo sunt doar gunoaie și doar vând ulei de șarpe”

Ultimele informații

SlowMist dezvăluie înșelătorie folosind modificări rău intenționate ale nodului RPC

Poliția din Marea Britanie își asigură noi puteri pentru a confisca activele cripto de la suspecți fără a face arestări – The Daily Hodl

Paul Krugman: Economia SUA este „încă pe drumul spre o aterizare soft”

Pantera Capital achiziționează jetoane Solana în cadrul licitației de faliment FTX

Banca Centrală Elvețiană rezistă Bitcoin în rezerve, activiștii susțin schimbarea

Expertul spune că prețul Bitcoin a depășit și este în declin exponențial, de ce nu este un lucru rău

Chat cu noi

Inteligența datelor Platon.Căutare verticală și Ai.

Suspectate atacuri cu bombă MFA vizează utilizatorii Apple iPhone

Resetare parolă Flood

Bombardarea MFA: o tactică cibernetică în evoluție

„Refuzați implicit”

Ultimele informații

Chat cu noi

Inteligența datelor Platon.
Căutare verticală și Ai.