Angripare riktar sig mot Apple iPhone-användare med ett utslag av UD:s bombattentat som använder en obeveklig serie av legitima aviseringar om lösenordsåterställning i vad som verkar vara ett försök att ta över deras iCloud-konton. Aktiviteten har fokuserat uppmärksamheten på utvecklingen av så kallade multifactor authentication (MFA) bombattacker.
En rapport från informationssäkerhetswebbplatsen KrebsOnSecurity lyfte först fram kampanjen, som riktar sig till affärs- och teknikchefer. Rapporten citerade flera personer som hade upplevt dessa incidenter nyligen. Några sa att de hade till och med fått "vishing" telefonsamtal från individer som utger sig för att vara Apples supportpersonal som använder ett nummer som förfalskade Apples officiella kundsupportlinje.
I samtal med Dark Reading grävde forskare i aktiviteten och lyfte fram nya bombningstaktik som används i kampanjen.
Lösenordsåterställ Flood
Lösenordsåterställningsfloden och telefonsamtal verkade vara ett mycket riktat försök att lura offren att använda sina Apple-enheter för att återställa sitt Apple-ID. Ett offer som samarbetade med den förmodade Apples kundsupportpersonal rapporterade att han blev förvånad över det mesta "helt korrekt” information som angripare verkade ha om honom när han försökte kontrollera deras trovärdighet.
I ett annat fall rapporterade en individ att push-aviseringarna fortsatte med oförminskad styrka även efter att han bytte sin gamla telefon mot en ny iPhone, ändrade sin e-postadress och skapade ett helt nytt iCloud-konto. Ett annat offer berättade att han fått begäranden om lösenordsåterställning även efter att ha aktiverat en återställningsnyckel för sitt Apple-ID på begäran av en Apple-supporttekniker. Apple har utpekat nyckeln – en valfri funktion – som att hjälpa användare att bättre säkra sina konton och som att stänga av Apples standardprocesser för lösenordsåterställning.
Angriparens uppenbara förmåga att skicka dussintals återställningsförfrågningar under en kort tidsperiod väckte några frågor om ett potentiellt fel i Apples lösenordsåterställningsmekanism för iCloud-konton, såsom ett möjligt problem med "hastighetsgräns" som felaktigt tillåter volymer på skräppostnivå återställningsförfrågningar.
Apple bekräftade eller dementerade inte de rapporterade attackerna. Det svarade inte heller på Dark Readings fråga om huruvida angriparna kan utnyttja en okänd bugg i företagets funktion för återställning av lösenord. Istället pekade en företagstalesman på en supportartikel som Apple publicerade den 23 februari och gav råd till kunder om hur man upptäcker och undvik nätfiskemeddelanden, falska supportsamtal och andra bedrägerier.
Talesmannen lyfte fram delar av artikeln som rör angripare som ibland använder falska nummerpresentationer för att förfalska telefonnummer och ofta hävdar misstänkt aktivitet på ett konto eller en enhet för att få användare att vidta oönskade åtgärder. "Om du får ett oönskat eller misstänkt telefonsamtal från någon som påstår sig vara från Apple eller Apples support, lägg bara på", noterade rådet.
MFA Bombing: An Evolving Cyber Tactic
Multifaktorbombattacker - även känd som multifaktorutmattningsattacker - är en social ingenjörskonst där angripare översvämmer ett måls telefon, dator eller e-postkonto med push-meddelanden för att godkänna en inloggning eller en lösenordsåterställning. Tanken bakom dessa attacker är att överväldiga ett mål med så många andra-faktor-autentiseringsförfrågningar att de till slut accepterar en antingen av misstag eller för att de vill att aviseringarna ska sluta.
Vanligtvis har dessa attacker inneburit att hotaktörerna först olagligt skaffat användarnamnet och lösenordet till ett offerkonto och sedan använt en bombattack eller utmattningsattack för att erhålla andrafaktorsautentisering till konton som skyddas av MFA. År 2022, till exempel, fick medlemmar i Lapsus$-hotgruppen VPN-uppgifter för en person som arbetar för en tredjepartsleverantör för Uber. De använde sedan meriter för att försök upprepade gånger och logga in på entreprenörens VPN-konto utlöser en begäran om tvåfaktorsautentisering på entreprenörens telefon varje gång - vilket entreprenören till slut godkände. Angriparna använde sedan VPN-åtkomsten för att bryta mot flera Uber-system.
Tvisten i de nya MFA-bombattackerna mot Apple-användare är att angriparna inte verkar använda – eller ens kräver – något tidigare erhållet användarnamn eller lösenord.
"Vid tidigare MFA-bombning skulle angriparen ha äventyrat användarens lösenord antingen via nätfiske eller dataläcka och sedan använt det många gånger tills användaren bekräftade MFA-push-meddelandet", säger säkerhetsforskaren Matt Johansen. "I den här attacken är allt hackaren har användarens telefonnummer eller e-postadress som är kopplad till ett iCloud-konto och de utnyttjar flödet "glömt lösenordet" på användarens betrodda enhet för att tillåta lösenordsåterställningen att gå igenom. ”
Lösenordsåterställningen har en CAPTCHA på sig för att hjälpa hastighetsbegränsa återställningsbegäranden, säger Johansen. Men det verkar som att angriparna lätt kringgår det, konstaterar han. Det faktum att hotaktörerna spoofar det legitima Apple Support-telefonnumret och ringer användaren samtidigt som MFA-bombningen är en annan anmärkningsvärd skillnad.
"Så användaren är förvirrad över att deras enhet blåser upp i MFA-förfrågningar och de får ett samtal från ett legitimt Apple-nummer som säger att de är här för att hjälpa, bara låt dem veta vilken kod de fick skickad till sin telefon. Jag antar att det här är en taktik med mycket hög framgång.
Baserat på tillgänglig information om attacken är det troligt att hotaktörerna går efter högförmögna individer, tillägger Johansen. "Jag misstänker att kryptogemenskapen skulle drabbas hårdast, från initiala rapporter", säger han.
Jared Smith, framstående ingenjör på SecurityScorecard, säger att det är troligt att angriparna helt enkelt fyller i Apples formulär för återställning av lösenord med hjälp av kända Apple iCloud/Me.com-e-postadresser.
"Det skulle motsvara att jag gick till X/Twitter och kopplar in din personliga e-post till formuläret för återställning av lösenord, hoppas eller vet att du använder det för Twitter, och antingen irriterar dig eller, om jag var smart, har något sätt att få återställ koder från dig."
Han säger att det är troligt att Apple undersöker massmeddelanden som utlöses och överväger strängare hastighetsbegränsningar och DDoS-skyddsmekanismer (Distributed Denial-of-Service).
"Även om hotaktörerna använder bättre proxyservrar som erbjuder IP-adresser för bostäder, verkar de fortfarande skicka en så stor mängd försök att Apple kanske vill lägga till ännu mer aggressiva CAPTCHA" eller ett innehållsleveransnätverk (CDN)-baserat skydd , säger Smith.
"Avvisa som standard"
Det blir alldeles uppenbart att starkare autentisering utöver MFA krävs för att säkra enheter eftersom angripare hittar nya sätt att kringgå det. Till exempel riktar sig hotaktörer för närvarande Microsoft 365 och Gmail e-postkonton med nätfiskekampanjer som använder ett MFA-bypass phishing-as-a-service (PhaaS)-kit distribuerat via Telegram som heter Tycoon 2FA som får stor dragning.
Dessutom blir själva vishing en global cyberkriminell pandemi, med mycket skickliga och organiserade aktörer över hela världen som riktar sig till personer med kunskap om deras personuppgifter. Faktum är att a rapport publicerad idag av Hiya fann att 28 % av alla okända samtal 2023 var bedrägerier eller spam, med en genomsnittlig förlust på $2,300 XNUMX per användare för de som förlorade pengar på dessa attacker.
MFA-bombningar och liknande attacker "är en tuff påminnelse om att nätfiskare i allt större utsträckning hittar kreativa sätt att utnyttja den mänskliga naturen för att komma åt människors värdefulla konton, på jobbet och hemma", konstaterar Anna Pobletts, chef för lösenordslös på 1Password.
Hon föreslår ett "avvisa som standard" tillvägagångssätt för alla telefonsamtal eller annan typ av meddelande eller varning som "verkar det minsta ovanliga", till exempel ett oönskat samtal från kundtjänst, även om det verkar komma från en betrodd enhet.
Ändå är detta råd inte den optimala lösningen eftersom det "lägger bördan av säkerhet på användarna", säger Pobletts. Faktum är att den ultimata lösningen för att kringgå MFA av angripare kan vara att använda lösenord, som bekämpar nätfiskeattacker som MFA-bombningar genom att eliminera användningen av referenser, som är "belöningen som hackare i slutändan är ute efter", säger hon.
Men tills lösenord accepteras kommer företag att behöva ta tag i att "snabbt åtgärda sårbarheter och förbättra sina autentiseringsmetoder och återställningsflöden", tillägger Pobletts.
För iPhone-användare som vill undvika att bli måltavla av den nuvarande strömmen av MFA-bombningar, föreslog KrebsOnSecurity att de kan ändra telefonnumret som är kopplat till deras konto till ett VoIP-nummer – till exempel ett från Skype eller Google Voice – för att undvika att angripare har åtkomst till deras iPhone-nummer och därmed rikta in sig på dem. Detta kommer också att inaktivera iMessage och Facetime på enheten, vilket "kan vara en bonus för dem som är oroliga för att minska den övergripande attackytan på sina Apple-enheter", tillade sajten.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
