Uživatelé Applu se stávají terčem nové vlny phishingových útoků s názvem „MFA Bombing“, které spoléhají na netrpělivost uživatelů a chybu v mechanismu Apple pro resetování hesla.
Phishingové útoky často spoléhají na to, že uživatelé poskytnou útočníkovi informace nebo mu umožní provést něco se svým účtem, často prostřednictvím e-mailu, textové zprávy nebo jiných prostředků zasílání zpráv. Nedávno objevený phishingový útok použil novou cestu, aby mu oběti padly, a to pomocí systému pro resetování hesla společnosti Apple.
Útok nazvaný „MFA Bombing“, „MFA Fatigue“ nebo „Push Bombing“ je útok podrobně popsán Krebs o bezpečnosti je propracovaný phishingový útok, který se podle všeho točí kolem chyby ve funkci resetování hesla. Oběti jsou zaplaveny oznámeními „Reset Password“ včetně textu „Použijte tento iPhone k resetování hesla Apple ID“ a možností povolení nebo zamítnutí žádosti.
Toto oznámení je pravé. Obvykle se uživateli zobrazí jednou, když se pokusí resetovat své heslo Apple ID, jako forma vícefaktorového ověření na iPhonu, Macu, iPadu nebo Apple Watch.
Problémem útoku je, že útočník bombarduje cíl tolika upozorněními. Doufá se, že uživatel buď omylem vybere Povolit místo Nepovolit, nebo bude naštvaný záplavou upozornění, že zvolí Povolit, aby to zastavil.
V tomto případě výběr Povolit umožní útočníkovi resetovat heslo Apple ID a udělit přístup k účtu.
Oznámení, pak hovory
Pokud útočníkům nevyhovuje samotný počet notifikací, může nastat druhá fáze, pokud znají telefonní číslo cíle.
Útočníci, kteří se vydávají za Apple Support, volají oběti, přičemž telefonní číslo volajícího je podvrženo, aby zobrazovalo skutečné číslo zákaznické podpory společnosti Apple. Po neobvyklém počtu oznámení, která se mohou zdát jako chyba, se neopatrná oběť může domnívat, že volající je skutečně od společnosti Apple.
Včera večer jsem byl zaměřen na sofistikovaný phishingový útok na mé Apple ID.
Byl to na mě soustředěný pokus s velkým úsilím.
Jiní zakladatelé jsou terčem stejné skupiny/útoku, takže pro zviditelnění sdílím, co se stalo.
Zde je návod, jak to dopadlo:
— Parth (@parth220_) 23. března 2024
Oběti jsou pak požádány, aby ověřily své informace, přičemž útočník používá zdroje dat, jako jsou webové stránky, které nabízejí podrobnosti o identitě, aby „potvrdil“ další podrobnosti o účtu, to vše pro větší přesvědčivost.
Jakmile se oběť domnívá, že volající je podpora Apple, útočník může spustit zaslání resetovacího kódu Apple ID oběti ve snaze přimět je, aby prozradili jednorázové heslo „agentovi podpory“. Opět to umožňuje útočníkovi resetovat heslo účtu a uzamknout uživatele.
Není snadné se vyhnout
V případě jednoho uživatele Applu, který byl zasažen oznámeními po několik dní a měl obavy, jak snadno by mohl udělit přístup útočníkovi, kontaktoval s problémy skutečnou podporu Apple a byl eskalován seniornímu inženýrovi společnosti Apple.
Inženýr poradil, že povolení klíče pro obnovení Apple zabrání útočníkovi v použití standardního procesu obnovení účtu. To znamenalo vygenerování 28znakového kódu, který by byl použit pro obnovení účtu.
Navzdory tomu, že to bylo na jejich účtu povoleno, oznámení o resetování hesla pokračovala.
Apple nereagoval na Krebsovy žádosti o komentář k této záležitosti.
Není známo, zda Apple skutečně ví o možné chybě upozornění v systému obnovy hesla. Již dříve však řešil podobný problém s upozorněním.
V roce 2019 umožnil exploit s názvem „AirDoS“ útočníkovi neustále spamovat okolní iOS zařízení s výzvou ke sdílení souboru přes AirDrop. Problém byl opraven v iOS 13.3, čtyři měsíce po jeho objevení, kdy Apple přidal přísnější omezení sazeb pro požadavky AirDrop.
Jak se chránit před MFA bombardováním
Uživatelé Apple čelící takovému útoku mají několik příležitostí, jak útok odvrátit. V tuto chvíli však nelze oznámení zastavit.
Oběti musí být ostražité a pokaždé, když se objeví, zvolit „Nepovolit“.
Pokud útočníci zavolají, aby si vyžádali kód, nejlepším postupem je říct jim, že jim zavoláte zpět, prostřednictvím oficiálního čísla podpory Apple. Apple také nebude poskytovat informace o zákaznících po telefonu jako formu ověření, což je další indikátor toho, že volající není pravý.
Povolení klíče Apple Recovery Key je extrémnější možností, která pomůže zajistit, že resetování hesla účtu nemůže provést útočník. Vyžaduje, abyste se drželi dlouhého přístupového kódu, abyste mohli v budoucnu provést akci za sebe – a jak říká oznámení o tom, kód by neměl být poskytnut nikomu, ani na požádání.
Zdroj: appleinsider.com