攻擊者針對 Apple iPhone 用戶發動了一系列攻擊 外交部爆炸襲擊 使用一系列無情的合法密碼重置通知警報,似乎試圖接管他們的 iCloud 帳戶。該活動將注意力集中在所謂的多因素身份驗證 (MFA) 轟炸攻擊的不斷演變的性質上。
資安網站 KrebsOnSecurity 的一份報告首先強調了這項針對商業和技術高管的活動。報道引用了多位最近經歷過這些事件的人士的話。有幾個人說他們甚至 接到「釣魚」電話 來自自稱是 Apple 支援人員的個人使用欺騙 Apple 官方客戶支援熱線的號碼。
在與 Dark Reading 的對話中,研究人員深入研究了這項活動,強調了活動中使用的新轟炸策略。
密碼重設洪水
密碼重置洪水和電話似乎是一次高度針對性的嘗試,旨在誘騙受害者使用他們的 Apple 設備重置他們的 Apple ID。一位與所謂的蘋果客戶支援人員接觸過的受害者報告說,他被大多數“完全準確當他試圖審查攻擊者的可信度時,攻擊者似乎掌握了有關他的資訊。
在另一個例子中,一個人報告說,即使他將舊手機換成了新 iPhone、更改了電子郵件地址並創建了一個全新的 iCloud 帳戶,推播通知仍然有增無減。另一位受害者回憶說,即使在啟用了密碼重設功能後,仍然收到了密碼重設請求。 一鍵恢復 應 Apple 支援工程師的要求取得其 Apple ID。蘋果宣稱該金鑰是一項可選功能,可以幫助用戶更好地保護其帳戶,並關閉蘋果公司的標準密碼恢復流程。
攻擊者明顯有能力在短時間內發送數十個重置請求,這引發了人們對蘋果iCloud 帳戶密碼重置機制潛在故障的一些疑問,例如可能存在“速率限制”問題,錯誤地允許垃圾郵件級別的資料量。重置請求。
蘋果沒有證實或否認所報告的攻擊。它也沒有回答 Dark Reading 關於攻擊者是否可能利用該公司密碼重置功能中未公開的錯誤的問題。相反,該公司發言人指出蘋果公司 23 月 XNUMX 日發表的一篇支援文章,為客戶提供有關如何發現和 避免網路釣魚訊息、虛假支援電話和其他詐騙.
發言人強調了文章中有關攻擊者有時使用虛假來電顯示資訊來欺騙電話號碼的部分,並經常聲稱帳戶或設備上存在可疑活動,以誘使用戶採取一些不必要的操作。該建議指出:“如果你接到自稱來自 Apple 或 Apple 支持的人未經請求或可疑的電話,請掛斷電話。”
MFA 轟炸:不斷演變的網路策略
多因素轟炸攻擊(也稱為多因素疲勞攻擊)是一種 社會工程利用 攻擊者向目標的電話、電腦或電子郵件帳戶發送推播通知,以批准登入或密碼重設。這些攻擊背後的想法是 壓倒目標 由於存在如此多的第二因素身份驗證請求,他們最終要么錯誤地接受了請求,要么因為他們希望停止通知。
通常,這些攻擊涉及威脅行為者首先非法取得受害者帳戶的使用者名稱和密碼,然後使用轟炸或疲勞攻擊來獲得受 MFA 保護的帳戶的第二因素身份驗證。例如,2022 年,Lapsus$ 威脅組織的成員獲得了為 Uber 第三方承包商工作的個人的 VPN 憑證。然後他們使用這些憑證 重複嘗試登入承包商的 VPN 帳戶 每次都會在承包商的手機上觸發雙重認證請求 - 承包商最終批准了該請求。隨後,攻擊者利用 VPN 存取入侵了多個 Uber 系統。
針對 Apple 用戶的新 MFA 轟炸攻擊的不同之處在於,攻擊者似乎沒有使用(甚至不需要)任何先前獲得的用戶名或密碼。
「在先前的 MFA 轟炸中,攻擊者會透過網路釣魚或資料外洩來洩露用戶的密碼,然後多次使用該密碼,直到用戶確認 MFA 推播通知,」安全研究員 Matt Johansen 說。 “在這次攻擊中,駭客所擁有的只是與 iCloud 帳戶關聯的用戶電話號碼或電子郵件地址,他們利用用戶可信設備上的‘忘記密碼’流程提示來允許密碼重置。 ”
約翰森說,密碼重置上有一個驗證碼,可以幫助限制重置請求的速率。但他指出,攻擊者似乎很容易繞過這一點。事實上,威脅行為者正在欺騙合法的 Apple 支援電話號碼,並在 MFA 轟炸的同時致電用戶,這是另一個顯著的區別。
「因此,用戶對自己的裝置在 MFA 請求中崩潰感到慌亂,他們接到合法 Apple 號碼打來的電話,說他們是來幫忙的,只是讓他們知道他們的手機收到了哪些代碼。我猜這是一個成功率非常高的策略。”
約翰森補充說,根據有關攻擊的現有信息,威脅行為者很可能正在攻擊高淨值人士。 「從最初的報告來看,我懷疑加密貨幣社群將受到最嚴重的打擊,」他說。
SecurityScorecard 的傑出工程師 Jared Smith 表示,攻擊者很可能只是使用已知的 Apple iCloud/Me.com 電子郵件地址來填入 Apple 的重設密碼表單。
「這相當於我進入X/Twitter,將你的個人電子郵件插入重置密碼表單中,希望或知道你將其用於Twitter,然後要么惹惱你,要么(如果我夠聰明的話)有辦法得到你的訊息。”重置你的密碼。”
他表示,蘋果可能正在檢查觸發的大量通知,並考慮更嚴格的速率限制和分散式阻斷服務 (DDoS) 保護機制。
「即使威脅行為者使用提供住宅 IP 的更好代理伺服器,他們似乎仍在發送大量嘗試,以至於蘋果可能希望添加更激進的驗證碼」或基於內容分發網路 (CDN) 的保護,史密斯說。
“預設拒絕”
越來越明顯的是,隨著攻擊者找到繞過它的新方法,需要超越 MFA 的更強大的身份驗證來保護設備。例如,威脅行為者目前的目標是 微軟365 和 Gmail 電子郵件帳戶,使用透過 Telegram 分發的繞過 MFA 的網路釣魚即服務 (PhaaS) 套件進行網路釣魚活動 大亨2FA 這正在獲得巨大的吸引力。
此外,電話釣魚本身正在成為一種 全球網路犯罪大流行,世界各地的高技能和有組織的參與者針對了解其個人資料的人。事實上,一個 Hiya 今天發布的報告 研究發現,到 28 年,所有未知電話中有 2023% 是詐騙或垃圾郵件,因這些攻擊而損失金錢的每位使用者平均損失 2,300 美元。
1Password 無密碼部門負責人 Anna Pobletts 指出,MFA 轟炸和類似攻擊「強烈提醒人們,網路釣魚者越來越多地尋找創意的方法來利用人性來存取人們在工作和家庭中的寶貴帳戶」。
她建議對任何「看起來有點不尋常」的電話或其他類型的訊息或警報採取「預設拒絕」的方法,例如來自客戶服務的主動電話,即使它似乎來自受信任的實體。
儘管如此,這個建議並不是最佳解決方案,因為它“給用戶帶來了安全負擔”,Pobletts 說。事實上,攻擊者繞過 MFA 的最終解決方案可能是使用 passkeys, which combat phishing attacks like MFA bombing by eliminating the use of credentials, which are “the reward that hackers are ultimately after,” she says.
然而,在金鑰獲得採用之前,公司將不得不彌補這一缺陷,以“快速解決漏洞並改進其身份驗證方法和恢復流程”,Pobletts 補充道。
對於希望避免成為當前一波 MFA 轟炸攻擊目標的 iPhone 用戶,KrebsOnSecurity 建議他們可以將與其帳戶關聯的電話號碼更改為 VoIP 號碼(例如來自 Skype 或 Google Voice 的號碼),以避免攻擊者獲得訪問權限到他們的iPhone 號碼,從而定位他們。該網站補充道,這還將禁用設備上的 iMessage 和 Facetime,這「對於那些關心減少 Apple 設備整體攻擊面的人來說可能是一個好處」。
