Apple MFA bombing napad

AUTOR ·

Korisnici Apple uređaja (iPhone, Apple Watch, Mac) se mogu suočiti sa MFA bombing napadom čiji je cilj preuzimanje Apple korisničkih naloga kroz talas (bombardovanje) zahtjeva za resetovanje lozinke. Radi se o napadu na neoprezne korisnike i nedostatku u Apple mehanizmu za resetovanje lozinke.

Apple MFA

Apple MFA bombing napad; Source: Bing Image Creator

MFA BOMBING NAPAD

 

Napadi bombardovanja autentifikacije u više koraka su poznati i pod nazivom umor autentifikacije u više koraka su napad društvenog inžinjeringa u kojem napadači preplavljuju telefon, računar ili nalog elektronske pošte mete forsiranim obavještenjima da bi odobrili prijavu ili resetovanje lozinke. Ideja iza ovih napada je da se cilj preplavi sa toliko zahteva za autentifikaciju u više koraka da on na kraju prihvati jedan ili greškom ili zato što želi da prestanu obavještenja.

Tipično, ovi napadi su uključivali zlonamjerne aktere koji prvo ilegalno dobijaju korisničko ime i lozinku za nalog žrtve, a zatim koriste napad bombardovanja ili umora da bi dobili autentifikaciju u više koraka za naloge zaštićene MFA autentifikacijom. Zaokret u novim napadima MFA bombardovanja koji ciljaju na korisnike Apple uređaja je u tome što izgleda da napadači ne koriste ili čak ne zahtijevaju bilo kakvo prethodno dobijeno korisničko ime ili lozinku.

 

APPLE MFA BOMBING

Čovjek kao najslabija karika u sajber bezbjednosti je najbolja meta za phishing napade. Natjerati ljude da kliknu na “Don't Allow” iznova i iznova u telefonskom odzivniku koji se ne može preskočiti je ugao koji zauzimaju neki iCloud napadači i vjerovatno imaju neki uspeh.

Sigurnosni istraživač Brian Krebs je objavio da je nekoliko korisnika prijavilo da su bili meta sofisticiranog phishing napada. Desetine upita na nivou sistema za resetovanje lozinke pojavljuju se na uređajima žrtava. Iskačući prozor sprečava korištenje uređaja sve dok korisnik ne zatvori dijalog sa “Dozvoli” ili “Ne dozvoli” (eng. “Allow” ili “Don’t Allow”). Pritiskom na opciju “Dozvoli” zlonamjerni akteri se približavaju korak bliže resetovanju korisničkih akreditiva, jer bi se taj uređaj tada mogao koristiti za kreiranje nove lozinke za Apple ID. Nažalost, dodirivanje “Ne dozvoli” na svim obavještenjima ne rješava problem.

 

Prvi scenario

Pod pretpostavkom da korisnik uspije da ne pritisne pogrešno dugme na bezbrojnim zahtevima za resetovanje lozinke, prevaranti će tada pozvati žrtvu dok lažiraju Apple podršku u ID pozivaoca, objašnjavajući da je korisnički nalog napadnut i da Apple podrška treba da “provjeri” jednokratni kôd. Cilj zlonamjernih aktera je da pošalju kôd za resetovanje lozinke na uređaj korisnika i da im korisnik kaže taj kôd.

Prema dostupnim informacija, nije baš najjasnije šta bi se desio da korisnik klikne na “Dozvoli”. Pretpostavka je da bi bi zlonamjerni akteri opet morali pozvati potencijalnu žrtvu, ponovo oponašajući Apple podršku i zavaraju ih da resetuju lozinku na svom uređaju i podjele je sa napadačem.

 

“Podižem slušalicu i super sam sumnjičav. Zato ih pitam da li mogu da potvrde neke informacije o meni, a nakon što sam čuo agresivno kucanje sa njegove strane, on mi daje sve ove informacije o meni i potpuno su tačne.”

 Parth Patel, entrepreneur

 

Napad nije uspio, jer je napadač na kraju pogriješio ime korisnika. Međutim, očigledno je da su podaci prikupljeni sa više internet lokacija za pretragu ljudi.

 

Drugi scenario

Jedna od žrtvi MFA bombing napada je kupila novi iPhone u službenoj Apple prodavci i napravila novi iCloud nalog sa novom adresom elektronske pošte. Međutim, eSIM je registrovan sa njegovim prethodnim brojem na novom uređaju. Dok žrtva još sjedila u Apple Genius baru, dobila je sistemska upozorenja da resetuje lozinku na svom novom iPhone uređaju i iCloud nalogu.

Zaposleni u Apple prodavnici nisu bili sigurni zašto su napadači mogli odmah da pošalju obavještenja na novi uređaj. Međutim, čini se da je telefonski broj ključ za generisanje poruka za resetovanje lozinke na uređajima žrtve, jer je broj telefona bio jedini parametar koji se nije promijenio.

 

Treći scenario

Korisnik koji je htio ostati anoniman je podijelio svoje iskustvo. On je prvi put počeo da dobija ove upite ranije ove godine, ali da nije primio lažne pozive Apple podrške kao što su drugi korisnici prijavili.

 

“Ovo mi se nedavno dogodilo usred noći u 12:30 ujutru. Iako imam Apple sat podešen da bude tih tokom vremena kada obično spavam noću, probudio me je jednim od ovih upozorenja. Hvala Bogu da nisam pritisnuo “Dozvoli”, što je bila prva opcija prikazana na mom satu. Morao sam da skrolujem, gledam točak da vidim i pritisnem dugme “Ne dozvoli”.”

 – anonimni korisnik –

 

Korisnik je na kraju kontaktirao Apple podrški i kroz svoje upite došao do višeg inžinjera podrške. Ovaj inžinjer je uvjerio korisnika da će uključivanje Apple ključa za oporavak za njegov nalog zaustaviti obavještenja jednom zauvijek. Ključ za oporavak je opcionalna bezbjednosna funkcija za koju kompanija Apple kaže da pomaže u poboljšanju bezbjednosti Apple ID naloga. To je nasumično generisani kôd od 28 znakova, a kada je omogućen ključ za oporavak, on bi trebalo da onemogući standardni Apple proces oporavka naloga. Stvar je u tome što omogućavanje nije jednostavan proces i ako ikada izgubite taj kôd pored svih svojih Apple uređaja, korisnici će biti trajno zaključani. Korisnik kaže da je omogućio ključ za oporavak za svoj nalog prema uputstvima, ali da to nije spriječilo da se nepozvana sistemska upozorenja pojavljuju na svim njegovim uređajima svakih nekoliko dana.

Sigurnosni istraživač Brian Krebs je testirao ovaj navod i potvrdio da omogućavanje ključa za oporavak ne sprečava slanje upita za resetovanje lozinke na povezane Apple uređaje. Posjeta Apple stranici zaboravljena lozinka https://iforgot.apple.com traži adresu elektronske pošte i korisnik mora da riješi CAPTCHA test. Nakon toga, stranica će prikazati pretposlednje dvije cifre telefonskog broja vezanog za Apple nalog. Popunjavanjem cifara koje nedostaju i pritiskom na “Pošalji” na tom obrascu poslaće se sistemsko upozorenje, bez obzira da li je korisnik omogućio Apple ključ za oporavak ili ne.

 

ZAKLJUČAK

Nije utvrđeno koliko je Apple korisnika pogođeno ovim MFA bombardovanjem. Međutim, korisnici su prijavili da su dobili obavještenja na svojim iPhone uređajima, Apple satovima i Mac računarima, sugerišući da napad nije ograničen samo na jedan tip Apple uređaja. Što je još gore, ne postoji jednostavan način da se to zaustavi.

Sada se postavlja pitanje koji bi razumno dizajniran sistem za autentifikaciju poslao desetine zahteva za promjenu lozinke u rasponu od nekoliko trenutaka, kada korisnik nije ni reagovao na prve zahteve? Da li bi ovo moglo biti rezultat greške u Apple sistemima? Kompanija Apple nije komentarisala ovaj problem.

 

UBLAŽAVANJE POSLJEDICA

Čini se da kompanija Apple zahtjeva da broj telefona bude u evidenciji za korisnički nalog, ali nakon što se on podesi to ne mora da bude broj mobilnog telefona. Kompanija Apple će prihvatiti VOIP broj (kao što je Skype ili Google Voice). Dakle, promjena broja telefona korisničkog naloga u VOIP broj koji nije široko poznat bi predstavljalo jedno ublažavanje.

 Važna napomena: Prilikom korištenja VOIP broja, Apple aplikacije iMessage i Facetime neće biti omogućene sve dok se ne bude koristio pravi broj.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.