Saldırganlar Apple iPhone kullanıcılarını hedef alıyor MFA bombalı saldırıları iCloud hesaplarını ele geçirme girişimi gibi görünen bir dizi yasal parola sıfırlama bildirim uyarısı kullananlar. Etkinlik, dikkatleri çok faktörlü kimlik doğrulama (MFA) adı verilen bombalı saldırıların gelişen doğasına odakladı.
Bilgi güvenliği web sitesi KrebsOnSecurity tarafından hazırlanan bir rapor, ilk olarak iş ve teknoloji yöneticilerini hedef alan kampanyaya dikkat çekti. Raporda yakın zamanda bu olayları yaşayan birden fazla kişiden alıntı yapıldı. Hatta birkaçı sahip olduklarını söyledi “vızırdayan” telefon çağrıları aldım Apple'ın resmi müşteri destek hattını taklit eden bir numara kullanan ve Apple destek personeli olduğunu iddia eden kişilerden.
Dark Reading ile yapılan görüşmelerde araştırmacılar, kampanyada kullanılan yeni bombalama taktiklerinin altını çizerek etkinliği derinlemesine incelediler.
Şifre Sıfırlama Flood
Parola sıfırlama seli ve telefon aramaları, mağdurları Apple kimliklerini sıfırlamak için Apple cihazlarını kullanmaları yönünde kandırmaya yönelik oldukça hedefli bir girişim gibi görünüyordu. Sözde Apple müşteri destek personeliyle görüşen bir kurban, çoğunlukla “tamamen doğru” Saldırganların güvenilirliğini incelemeye çalışırken onun hakkında sahip olduğu bilgiler.
Başka bir örnekte, bir kişi eski telefonunu yeni bir iPhone ile değiştirdikten, e-posta adresini değiştirdikten ve yepyeni bir iCloud hesabı oluşturduktan sonra bile anlık bildirimlerin azalmadan devam ettiğini bildirdi. Başka bir kurban, bir şifreyi etkinleştirdikten sonra bile şifre sıfırlama isteklerini aldığını anlattı. kurtarma anahtarı Bir Apple destek mühendisinin talebi üzerine Apple kimlikleri için. Apple, isteğe bağlı bir özellik olan bu anahtarın, kullanıcıların hesaplarını daha iyi güvence altına almasına yardımcı olduğunu ve Apple'ın standart şifre kurtarma işlemlerini kapattığını öne sürdü.
Saldırganın kısa bir süre içinde düzinelerce sıfırlama isteği gönderme yeteneği, Apple'ın iCloud hesapları için parola sıfırlama mekanizmasındaki olası bir aksaklık hakkında bazı soruları gündeme getirdi; istekleri sıfırla
Apple, bildirilen saldırıları onaylamadı veya reddetmedi. Dark Reading'in saldırganların şirketin şifre sıfırlama özelliğindeki açıklanmayan bir hatadan yararlanıp faydalanmadığına dair sorusuna da yanıt verilmedi. Bunun yerine bir şirket sözcüsü, Apple'ın 23 Şubat'ta yayınladığı ve müşterilere nasıl fark edecekleri ve nasıl tespit edecekleri konusunda tavsiyeler sunan bir destek makalesine işaret etti. Kimlik avı mesajlarından, sahte destek çağrılarından ve diğer dolandırıcılıklardan kaçının.
Sözcü, makalenin saldırganların bazen telefon numaralarını taklit etmek için sahte Arayan Kimliği bilgilerini kullandığı ve çoğu zaman kullanıcıların istenmeyen eylemler gerçekleştirmesini sağlamak için bir hesap veya cihazda şüpheli etkinlik iddiasında bulunduğuyla ilgili bölümlerinin altını çizdi. Tavsiyede, “Apple veya Apple Destek'ten olduğunu iddia eden birinden istenmeyen veya şüpheli bir telefon alırsanız telefonu kapatın” ifadesine yer verildi.
MFA Bombalaması: Gelişen Bir Siber Taktik
Çok faktörlü yorulma saldırıları olarak da bilinen çok faktörlü bombalama saldırıları, sosyal mühendislik istismarı Saldırganların oturum açmayı veya parola sıfırlamayı onaylamak için hedefin telefonunu, bilgisayarını veya e-posta hesabını anlık bildirimlerle doldurması. Bu saldırıların ardındaki fikir, bir hedefi aşmak o kadar çok ikinci faktörlü kimlik doğrulama isteği var ki, sonunda ya yanlışlıkla ya da bildirimlerin durmasını istedikleri için birini kabul ediyorlar.
Tipik olarak bu saldırılar, tehdit aktörlerinin önce yasa dışı bir şekilde kurban hesabının kullanıcı adını ve şifresini elde etmesini, ardından MFA tarafından korunan hesaplarda ikinci faktör kimlik doğrulaması elde etmek için bombalama veya yorgunluk saldırısı kullanmasını içermektedir. Örneğin 2022'de Lapsus$ tehdit grubunun üyeleri, Uber için üçüncü taraf bir yüklenici için çalışan bir kişinin VPN kimlik bilgilerini ele geçirdi. Daha sonra kimlik bilgilerini şu amaçlarla kullandılar: yüklenicinin VPN hesabına tekrar tekrar giriş yapmayı deneyin her seferinde yüklenicinin telefonunda iki faktörlü bir kimlik doğrulama isteği tetikleniyor ve yüklenici sonuçta bunu onaylıyor. Saldırganlar daha sonra birden fazla Uber sistemini ihlal etmek için VPN erişimini kullandı.
Apple kullanıcılarını hedef alan yeni MFA bombalama saldırılarındaki değişiklik, saldırganların önceden elde edilen herhangi bir kullanıcı adını veya şifreyi kullanmaması, hatta buna ihtiyaç duymamasıdır.
Güvenlik araştırmacısı Matt Johansen, “Daha önceki MFA bombalamasında, saldırgan, kimlik avı veya veri sızıntısı yoluyla kullanıcının şifresini ele geçirmiş ve kullanıcı MFA anlık bildirimini onaylayana kadar bu şifreyi birçok kez kullanmıştı” diyor. “Bu saldırıda, bilgisayar korsanının sahip olduğu tek şey, kullanıcının iCloud hesabıyla ilişkili telefon numarası veya e-posta adresidir ve kullanıcının güvenilen cihazında parola sıfırlama işlemine izin verilmesini isteyen 'şifremi unuttum' akışından yararlanıyor. “
Johansen, parola sıfırlamanın üzerinde sıfırlama isteklerinin sınırlanmasına yardımcı olacak bir CAPTCHA bulunduğunu söylüyor. Ancak görünen o ki saldırganlar bunu kolayca atlıyorlar, diye belirtiyor. Tehdit aktörlerinin meşru Apple Destek telefon numarasını taklit ederek kullanıcıyı MFA bombalaması ile aynı anda araması da bir diğer dikkate değer farktır.
“Kullanıcı, cihazının MFA taleplerinde patlaması nedeniyle telaşlanıyor ve meşru bir Apple numarasından yardım için burada olduklarını söyleyen bir çağrı alıyor, sadece telefonlarına hangi kodu gönderdiklerini bilmelerine izin verin. Sanırım bu çok yüksek başarı oranına sahip bir taktiktir.”
Johansen, saldırıya ilişkin mevcut bilgilere göre, tehdit aktörlerinin büyük olasılıkla yüksek gelire sahip kişilerin peşine düştüğünü ekliyor. “İlk raporlara göre kripto topluluğunun en ağır darbeyi alacağından şüpheleniyorum” diyor.
SecurityScorecard'ın seçkin mühendisi Jared Smith, saldırganların muhtemelen Apple'ın parola sıfırlama formlarını bilinen Apple iCloud/Me.com e-posta adreslerini kullanarak kimlik bilgilerini doldurduklarını söylüyor.
“Bu, benim X/Twitter'a gitmem ve kişisel e-postanızı şifre sıfırlama formuna eklemem, bunu Twitter için kullandığınızı ummam veya bilmem ve ya sizi rahatsız etmem ya da eğer akıllıysam şifre sıfırlama formuna girmemle eşdeğerdir. kodları sizden sıfırlayın.”
Apple'ın büyük olasılıkla tetiklenen toplu bildirimleri incelediğini ve daha sıkı hız sınırlama ve dağıtılmış hizmet reddi (DDoS) koruma mekanizmalarını değerlendirdiğini söylüyor.
“Tehdit aktörleri, yerleşik IP'ler sunan daha iyi proxy sunucular kullanıyor olsalar bile, öyle görünüyor ki, Apple'ın daha da agresif CAPTCHA'lar veya içerik dağıtım ağı (CDN) tabanlı koruma eklemek isteyebileceği kadar büyük miktarda girişimde bulunuyorlar” , diyor Smith.
“Varsayılan Olarak Reddet”
Saldırganlar bunu atlamanın yeni yollarını buldukça, cihazların güvenliğini sağlamak için MFA'nın ötesinde daha güçlü kimlik doğrulamanın gerekli olduğu açıkça ortaya çıkıyor. Örneğin, tehdit aktörleri şu anda hedef alıyor Microsoft 365 ve Telegram aracılığıyla dağıtılan bir MFA hizmet olarak kimlik avını (PhaaS) atlayan bir kit kullanan kimlik avı kampanyalarına sahip Gmail e-posta hesapları çağrıldı İş Adamı 2FA bu önemli bir ilgi kazanıyor.
Üstelik arzulamanın kendisi de bir hale geliyor küresel siber suç salgını, dünya çapında yüksek vasıflı ve organize aktörlerin, kişisel verileri hakkında bilgi sahibi olan kişileri hedef almasıyla. Aslında bir rapor bugün yayınlandı Hiya tarafından yapılan araştırma, 2023'teki tüm bilinmeyen çağrıların %28'inin dolandırıcılık veya spam olduğunu ve bu saldırılarda para kaybedenlerin kullanıcı başına ortalama 2.300 ABD doları kayıp yaşadığını ortaya çıkardı.
1Password'ün şifresiz bölümü başkanı Anna Pobletts, MFA bombalamaları ve benzer saldırıların “kimlik avcılarının, insanların değerli hesaplarına işyerinde ve evde erişmek için insan doğasını istismar etmenin giderek daha yaratıcı yollarını bulduklarını hatırlatan sert bir hatırlatma” olduğunu belirtiyor.
Güvenilir bir kuruluştan geliyor gibi görünse bile, müşteri hizmetlerinden gelen istenmeyen bir çağrı gibi “en ufak bir olağandışı görünen” herhangi bir telefon görüşmesine veya diğer mesaj veya uyarıya “varsayılan olarak reddet” yaklaşımını öneriyor.
Pobletts, yine de bu tavsiyenin “güvenlik yükünü kullanıcılara yüklediği” için en uygun çözüm olmadığını söylüyor. Aslında, saldırganların MFA'yı atlamasına karşı nihai çözüm, MFA'yı kullanmak olabilir. geçiş anahtarları, Kimlik bilgilerinin kullanımını ortadan kaldırarak MFA bombalaması gibi kimlik avı saldırılarıyla mücadele eden bu sistem, “bilgisayar korsanlarının nihai olarak peşinde olduğu ödül” diyor.
Ancak, geçiş anahtarları benimsenene kadar şirketlerin “güvenlik açıklarını hızlı bir şekilde ele almak ve kimlik doğrulama yöntemlerini ve kurtarma akışlarını iyileştirmek” için bu boşluğu doldurması gerekeceğini ekliyor Pobletts.
KrebsOnSecurity, mevcut MFA bombardımanının hedefi olmaktan kaçınmak isteyen iPhone kullanıcıları için, saldırganların erişimini önlemek amacıyla hesaplarıyla ilişkili telefon numarasını Skype veya Google Voice gibi bir VoIP numarasıyla değiştirebileceklerini önerdi. iPhone numaralarına gidiyor ve böylece onları hedefliyoruz. Site, bunun aynı zamanda cihazdaki iMessage ve Facetime'ı da devre dışı bırakacağını ve bunun “Apple cihazlarının genel saldırı yüzeyini azaltmakla ilgilenenler için bir avantaj olabileceğini” ekledi.