Birçok Elma müşteriler yakın zamanda Apple'ın parola sıfırlama özelliğinde bir hata gibi görünen karmaşık kimlik avı saldırılarının hedefi olduklarını bildirdi. Bu senaryoda, hedefin Apple aygıtları, alıcı her istem için “İzin Ver” veya “İzin Verme” yanıtını verene kadar aygıtların kullanılmasını önleyen düzinelerce sistem düzeyinde istem görüntülemeye zorlanır. Kullanıcının sayısız parola sıfırlama isteğinde yanlış düğmeye basmamayı başardığını varsayarsak, dolandırıcılar daha sonra kurbanı arayacak ve arayan kimliğinde Apple desteğini taklit ederek kullanıcının hesabının saldırı altında olduğunu ve Apple desteğinin “doğrulaması gerektiğini” söyleyecektir. ” tek seferlik bir kod.
Parth Patel kripto para birimi alanında bir startup kurmaya çalışan bir girişimcidir. 23 Mart'ta Patel Twitter/X'te belgelendi “Push Bombing” veya “MFA Yorgunluğu” saldırısı olarak bilinen saldırıyı içeren, yakın zamanda kendisini hedef alan bir kimlik avı kampanyası; burada kimlik avcıları çok faktörlü kimlik doğrulama (MFA) sisteminin bir özelliğini veya zayıflığını hedefin cihazını dolduracak şekilde kötüye kullanır( s) bir şifre değişikliğini veya giriş yapmayı onaylamak için uyarılarla birlikte.
Patel, KrebsOnSecurity'ye “Saatim, dizüstü bilgisayarım ve telefonum dahil tüm cihazlarım patlamaya başladı” dedi. “Apple'ın onaylaması için gelen bu sistem bildirimi gibiydi [a reset of the account password]ama telefonumla başka hiçbir şey yapamadım. 100'den fazla bildirimi gözden geçirmek ve reddetmek zorunda kaldım.
Böyle bir tufanla karşı karşıya kalan bazı kişiler, sırf telefonlarını tekrar kullanabilmek için, aralıksız şifre sıfırlama istemlerine karşı sonunda “İzin Ver”i tıklayabilir. Diğerleri, eğer varsa kullanıcının Apple saatinde de görünecek olan bu istemlerden birini yanlışlıkla onaylayabilir.
Ancak bu kampanyadaki saldırganların elinde bir koz vardı: Patel, Apple'ın tüm şifre sıfırlama istemlerini reddettikten sonra iPhone'una Apple Destek'ten geldiğini söyleyen bir çağrı aldığını söyledi (gösterilen numara 1-800-275'ti) -2273, Apple'ın gerçek müşteri destek hattı).
Patel, “Telefonu elime alıyorum ve çok şüpheleniyorum” diye hatırladı. “Bu yüzden onlara benim hakkımda bazı bilgileri doğrulayıp doğrulayamayacaklarını soruyorum ve bazı agresif yazışmaları duyduktan sonra bana hakkımda tüm bu bilgileri veriyor ve bu bilgiler tamamen doğru.”
Gerçek adı hariç hepsi. Patel, sahte Apple destek temsilcisinden Apple hesabı için kayıtlı olan adı doğrulamasını istediğinde, arayan kişinin kendisine ait olmayan bir ad verdiğini, bunun yerine Patel'in yalnızca kendisi hakkında satışta olan arka plan raporlarında gördüğü bir ad verdiğini söyledi. adlı bir kişi arama sitesi PeopleDataLab'lar.
Patel, bilgilerini birden fazla kişi arama web sitesinden kaldırmak için oldukça fazla çalıştığını ve PeopleDataLabs'ın bu yanlış adı benzersiz ve tutarlı bir şekilde tüketici profilinde bir takma ad olarak listelediğini bulduğunu söyledi.
Patel, “Bazı nedenlerden dolayı, PeopleDataLabs'ta bilgilerimi aradığınızda karşınıza üç profil çıkıyor ve bunlardan ikisi benim, biri de orta batıdan bir ilkokul öğretmeni.” dedi. “Onlardan adımı doğrulamalarını istedim ve onlar da Anthony dediler.”
Patel, sesli kimlik avcılarının amacının, kullanıcının cihazına tek kullanımlık şifre içeren bir kısa mesaj olan Apple Kimliği sıfırlama kodunun gönderilmesini tetiklemek olduğunu söyledi. Kullanıcı bu tek seferlik kodu sağlarsa saldırganlar hesabın şifresini sıfırlayabilir ve kullanıcıyı kilitleyebilir. Ayrıca kullanıcının tüm Apple aygıtlarını da uzaktan silebilir.
TELEFON NUMARASI ANAHTARDIR
Chris, kendisine daha büyük bir hedef çizmemek için yalnızca adının kullanılmasını isteyen bir kripto para hedge fonu sahibidir. Chris, KrebsOnSecurity'ye Şubat ayı sonlarında oldukça benzer bir kimlik avı girişimiyle karşılaştığını söyledi.
Chris, “Aldığım ilk uyarıda 'İzin Verme'ye bastım, ancak hemen ardından arka arkaya 30 kadar bildirim daha aldım” dedi. “Telefonumun başında garip bir şekilde oturduğumu ya da kazara bazı tuşlara bastığımın bunlara sebep olabileceğini düşündüm ve bu yüzden hepsini reddettim.”
Chris, saldırganların bundan sonraki birkaç gün boyunca cihazlarına sıfırlama bildirimleri göndermeye devam ettiğini ve bir noktada iPhone'undan bunun Apple desteğinden geldiğini söyleyen bir çağrı aldığını söyledi.
Chris, bu tür davetsiz taleplere uygun tepkiyi göstererek, “Onları geri arayacağımı söyledim ve telefonu kapattım” dedi. “Gerçek Apple'ı tekrar aradığımda, o sırada benimle destek görüşmesi yapan birinin olup olmadığını söyleyemediler. Az önce Apple'ın, müşteriyle iletişime geçilmesini talep etmedikçe müşterilere hiçbir zaman dış arama başlatmayacağını açıkça belirttiğini söylediler.”
Birinin dijital hayatını ele geçirmeye çalışmasından büyük korku duyan Chris, şifrelerini değiştirdiğini ve ardından bir Apple mağazasına giderek yeni bir iPhone aldığını söyledi. Oradan yepyeni bir e-posta adresi kullanarak yeni bir Apple iCloud hesabı oluşturdu.
Chris daha sonra yeni iPhone ve iCloud hesabında daha da fazla sistem uyarısı almaya başladığını söyledi. tüm bu süre boyunca hâlâ yerel Apple Genius Bar'da oturuyorken.
Chris, KrebsOnSecurity'ye Genius Bar teknolojisinin uyarıların kaynağı konusunda şaşkına döndüğünü söyledi, ancak Chris, kimlik avcılarının bu Apple sistem uyarılarını hızlı bir şekilde oluşturmak için kötüye kullandıkları her ne ise, hedefin Apple hesabı için kayıtlı telefon numarasını bilmeyi gerektirdiğinden şüphelendiğini söyledi. Sonuçta bu buydu sadece Chris'in yeni iPhone ve iCloud hesabının değişmeyen yönü.
DİKKAT!
“Ken”, isminin gizli kalması koşuluyla konuşan bir güvenlik sektörü emektarıdır. Ken, bu istenmeyen sistem uyarılarını ilk olarak bu yılın başlarında Apple cihazlarında almaya başladığını ancak diğerlerinin bildirdiği gibi herhangi bir sahte Apple destek çağrısı almadığını söyledi.
Ken, “Bu yakın zamanda gece yarısı saat 12:30'da başıma geldi” dedi. “Genelde geceleri uyuduğum saatlerde Apple watch'umu sessiz kalacak şekilde ayarlasam da beni bu uyarılardan biriyle uyandırdı. Tanrıya şükür ki saatimde gösterilen ilk seçenek olan 'İzin Ver'e basmadım. Görmek için saat çarkını kaydırmam ve 'İzin Verme' düğmesine basmam gerekti.”
Uyurken nöbetinin devrilebileceği ve suçluların Apple hesabını ele geçirmesine izin verebileceği fikrinden rahatsız olan Ken, gerçek Apple desteğiyle iletişime geçtiğini ve sonunda kıdemli bir Apple mühendisine iletildiğini söyledi. Mühendis Ken'e, hesabı için Apple Kurtarma Anahtarını açmanın bildirimleri tamamen durduracağı konusunda güvence verdi.
Kurtarma anahtarı, Apple'ın “Apple ID hesabınızın güvenliğini artırmaya yardımcı olduğunu” söylediği isteğe bağlı bir güvenlik özelliğidir. Rastgele oluşturulmuş 28 karakterlik bir koddur ve bir kurtarma anahtarını etkinleştirdiğinizde Apple'ın standart hesap kurtarma işlemini devre dışı bırakması gerekir. Mesele şu ki, bunu etkinleştirmek basit bir süreç değil ve tüm Apple cihazlarınızın yanı sıra bu kodu da kaybederseniz kalıcı olarak kilitlenirsiniz.
Ken, talimatlara uygun olarak hesabı için bir kurtarma anahtarını etkinleştirdiğini ancak bunun, davetsiz sistem uyarılarının birkaç günde bir tüm cihazlarında görünmesini engellemediğini söyledi.
KrebsOnSecurity, Ken'in deneyimini test etti ve bir kurtarma anahtarının etkinleştirilmesinin, parola sıfırlama isteminin ilişkili Apple aygıtlarına gönderilmesini durdurma konusunda hiçbir etkisi olmadığını doğruladı. Apple'ın “şifremi unuttum” sayfasını (https://iforgot.apple.com) ziyaret ettiğinizde, bir e-posta adresi sorulur ve ziyaretçiden bir CAPTCHA çözmesi istenir.
Bundan sonra sayfada Apple hesabına bağlı telefon numarasının son iki rakamı görüntülenecektir. Eksik rakamların doldurulması ve bu formdaki gönder tuşuna basılması, kullanıcının bir Apple Kurtarma Anahtarını etkinleştirip etkinleştirmemesine bakılmaksızın bir sistem uyarısı gönderecektir.
HIZ LİMİTLERİ
Hangi akıllıca tasarlanmış kimlik doğrulama sistemi, ilk istekler kullanıcı tarafından henüz gerçekleştirilmemişken, birkaç dakika içinde düzinelerce parola değişikliği isteği gönderir? Bu Apple'ın sistemlerindeki bir hatanın sonucu olabilir mi?
Apple henüz yorum taleplerine yanıt vermedi.
2022 yılı boyunca, LAPSUS$ olarak bilinen bir suç korsanlığı grubu, MFA bombalamasını kullanarak, Cisco, Microsoft Ve Über. Buna yanıt olarak Microsoft, kimlik bilgileriyle oturum açmaya çalışan kullanıcıya bir dizi sayı görüntüleyen bir özellik olan “MFA numarası eşleştirmeyi” uygulamaya başladı. Daha sonra bu numaraların, hesaba giriş yaptıklarını doğrulamak için hesap sahibinin mobil cihazındaki Microsoft kimlik doğrulama uygulamasına girilmesi gerekir.
Kishan Bagaria texts.com (şu anda Automattic'e aittir) web sitesini kuran amatör bir güvenlik araştırmacısı ve mühendisidir ve Apple'ın kendisinde bir sorun olduğuna inanmaktadır. Ağustos 2019'da Bagaria, Apple'a “AirDoS” adını verdiği bir istismara izin veren bir hata bildirdi; çünkü bu, bir saldırganın yakındaki tüm iOS cihazlarına sistem düzeyinde bir istemle AirDrop (bir dosya) aracılığıyla bir dosyayı paylaşmak için sınırsızca spam göndermesine izin vermek için kullanılabilirdi. Apple ürünlerinde yerleşik paylaşım özelliği.
Apple bu hatayı yaklaşık dört ay sonra Aralık 2019'da düzeltti ve ilgili güvenlik bülteninde Bagaria'ya teşekkür etti. Bagaria, Apple'ın bu hataya yönelik düzeltmesinin AirDrop isteklerine daha katı hız sınırlaması eklemek olduğunu söyledi ve birisinin, belirli bir zaman diliminde bu parola sıfırlama isteklerinden kaçının gönderilebileceğine ilişkin Apple'ın hız sınırını atlamanın bir yolunu bulduğundan şüpheleniyor.
Bagaria, “Bunun rapor edilmesi gereken yasal bir Apple oran sınırı hatası olabileceğini düşünüyorum” dedi.