Jüngste „MFA-Bombing“-Angriffe zielen auf Apple-Nutzer

 (krebsonsecurity.com)
1 Punkte von GN⁺ 2024-03-28 | 1 Kommentare | Auf WhatsApp teilen

Ausgefeilter Phishing-Angriff auf Apple-Kunden

  • Zuletzt wurden Apple-Kunden Ziel eines ausgeklügelten Phishing-Angriffs, der wie ein Bug in Apples Funktion zum Zurücksetzen von Passwörtern wirkt.
  • Die Geräte der Betroffenen werden dazu gezwungen, Dutzende Eingabeaufforderungen auf Systemebene anzuzeigen, sodass die Nutzung der Geräte unmöglich wird, bis auf jede Aufforderung mit „Erlauben“ oder „Nicht erlauben“ reagiert wird.
  • Vorausgesetzt, der Nutzer tippt nicht versehentlich auf die falsche Schaltfläche, rufen die Betrüger anschließend an und geben sich als Apple Support aus. Sie behaupten, das Konto des Nutzers werde angegriffen und ein Einmalcode müsse „bestätigt“ werden.

Push-Bombing-Angriffe und MFA-Müdigkeit

  • Der Gründer Parth Patel, der versucht, ein Startup im Bereich Conversational AI aufzubauen, dokumentierte die jüngste gegen ihn gerichtete Phishing-Kampagne auf Twitter.
  • Der Angriff ist als „Push Bombing“ oder „MFA Fatigue“-Angriff bekannt und missbraucht Funktionen oder Schwachstellen von Multi-Faktor-Authentifizierungs-(MFA-)Systemen, um die Geräte der Zielperson mit Benachrichtigungen zu Passwortänderungen oder Login-Freigaben zu überfluten.
  • Patel sagte, all seine Geräte seien mit Systemhinweisen von Apple explodiert, die eine Freigabe zur Zurücksetzung des Konto-Passworts verlangten.

Die Telefonnummer ist der Schlüssel

  • Chris, Eigentümer eines Krypto-Hedgefonds, erlebte einen ähnlichen Phishing-Versuch; die Angreifer schickten über mehrere Tage hinweg weiterhin Hinweise zum Zurücksetzen auf seine Geräte.
  • Chris erhielt einen Anruf von jemandem, der sich als Apple Support ausgab. Als er jedoch zur Verifizierung direkt bei Apple anrief, stellte sich heraus, dass Apple Kunden nicht zuerst anruft.
  • Chris änderte sein Passwort, kaufte ein neues iPhone und richtete mit einer neuen E-Mail-Adresse ein neues Apple-iCloud-Konto ein.

Seien Sie vorsichtig!

  • Der Sicherheitsexperte Ken erhielt unter der Bedingung der Anonymität ähnliche unaufgeforderte Systemhinweise, bekam jedoch keinen gefälschten Anruf vom Apple Support.
  • Ken kontaktierte den Apple Support und wurde schließlich mit einem ranghohen Apple-Ingenieur verbunden, der ihm zusicherte, dass die Aktivierung eines Wiederherstellungsschlüssels für das Konto die Hinweise dauerhaft stoppen würde.
  • Ein Wiederherstellungsschlüssel ist eine optionale Sicherheitsfunktion, die die Sicherheit des Kontos verbessert; wenn sie aktiviert ist, wird Apples standardmäßiger Kontowiederherstellungsprozess deaktiviert.

Rate Limiting

  • Würde ein vernünftig entworfenes Authentifizierungssystem Dutzende Anfragen zur Passwortänderung innerhalb weniger Minuten versenden, noch bevor der Nutzer überhaupt auf die erste Anfrage reagieren konnte?
  • Apple hat auf eine Anfrage nach Stellungnahme dazu bislang nicht reagiert.

Was kann man tun?

  • Apple verlangt zwar eine Telefonnummer für das Konto, aber nach der Einrichtung muss es nicht zwingend eine Mobilfunknummer sein.
  • Apple akzeptiert VOIP-Nummern wie Google Voice, daher könnte es eine mögliche Gegenmaßnahme sein, die im Konto hinterlegte Telefonnummer auf eine VOIP-Nummer zu ändern.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-03-28
Hacker-News-Kommentare

  • Zusammenfassung des ersten Kommentars:

    In dem Artikel und den Top-Kommentaren fehlt eine wichtige Information: Selbst wenn man versehentlich auf „Erlauben“ tippt, kann der Angreifer das Passwort nicht einfach im Webbrowser ändern. Nach dem Tippen auf „Erlauben“ wird auf dem Gerät des Nutzers eine 6-stellige PIN angezeigt, und der Nutzer kann das Passwort auf seinem eigenen Gerät ändern. Der letzte Schritt des Angriffs besteht darin, dass der Angreifer sich als Apple-Telefonnummer ausgibt, anruft und den Nutzer bittet, die 6-stellige PIN vorzulesen. Wenn der Nutzer dem Angreifer die 6-stellige PIN am Telefon mitteilt, kann der Angreifer damit das Passwort des Nutzers zurücksetzen.

  • Zusammenfassung des zweiten Kommentars:

    Dieses Problem trat 2021 oder 2022 bei dem Kommentator und seiner Frau auf. Anfangs kamen die Anfragen ein paar Mal pro Tag, doch mit der Zeit trafen sie stündlich ein. Um die Versuche des Angreifers zu blockieren, richtete der Kommentator für beide Konten einen Wiederherstellungsschlüssel ein. Außerdem verstärkte er den Datenschutz und deaktivierte den Webzugriff, sodass nur vertrauenswürdige Geräte auf die Daten zugreifen und neue Geräte registrieren können.

  • Zusammenfassung des dritten Kommentars:

    Wenn die Nachricht zum Zurücksetzen des Passworts das Zurücksetzen des Passworts auf einem anderen Gerät erlaubt, ist dieses Design sehr schlecht. In der Nachricht steht ausdrücklich „Zum Zurücksetzen dieses iPhone verwenden“, daher würde man annehmen, dass die Person, die auf „Erlauben“ klickt, auf demselben Gerät ein neues Passwort festlegt.

  • Zusammenfassung des vierten Kommentars:

    Es stellt sich die Frage, ob nicht schon die Möglichkeit selbst das Problem ist, solche Prompts auf Apple-Geräten auszulösen (oder Dinge wie die im letzten Jahr in den Nachrichten erwähnten Bluetooth-basierten Prompts zum Einrichten neuer Geräte). Die Möglichkeit zum Zurücksetzen eines Passworts ist zwar notwendig, aber laut Artikel kann man innerhalb kurzer Zeit 30 Anfragen zum Zurücksetzen des Passworts stellen. Warum sollte das nicht böswillig sein?

  • Zusammenfassung des fünften Kommentars:

    Einmal nahm der Kommentator einen Anruf an, bei dem angezeigt wurde, er komme vom Apple Support. Das geschah zwei Tage, nachdem er im Apple Online Store ein neues MacBook bestellt hatte. Weil er auf die Lieferung wartete, hätte er den Anruf beinahe ernst genommen, rief dann aber stattdessen selbst beim Apple Support an, um zu prüfen, ob sie angerufen hatten. Sie sagten, dass sie nicht angerufen hatten.

  • Zusammenfassung des sechsten Kommentars:

    Man fragt sich, wie lange es noch dauert, bis ein weiterer Zweck solcher Anrufe darin besteht, genug von der Stimme eines Nutzers zu sammeln, um sie überzeugend zu klonen.

  • Zusammenfassung des siebten Kommentars:

    Es ist unklar, was genau nach einem Klick auf „Erlauben“ passiert. Der Kommentator fragt sich, ob Apple auf der iForgot-Website ein Formular zum Zurücksetzen des Passworts bereitstellt oder ob es nur auf dem Gerät angezeigt wird.

  • Zusammenfassung des achten Kommentars:

    Dieses Problem trat vor etwa zwei Jahren auf. Es ist beunruhigend, wenn Anfragen zum Zurücksetzen des Passworts in iCloud hereinprasseln und dann ein Anruf kommt, der vorgibt, von Apple Care zu sein. Der Angreifer beantwortete Apple-bezogene Fragen sehr souverän. Die Kontodaten des Kommentators könnten beim großen Ledger-Hack abgeflossen sein, und die Angreifer zielten auf Besitzer von Kryptowährungen ab. Die iCloud-Sicherheit war damals sehr schwach.

  • Zusammenfassung des neunten Kommentars:

    Der Kommentator mag Push-MFA seit seiner Einführung nicht. Einen Code einzugeben ist wirklich nicht schwer, und am Ende landet man doch wieder bei Push-Benachrichtigungen, die einen Code verlangen, um sich gegen Push-Bombing zu wehren.

  • Zusammenfassung des zehnten Kommentars:

    Seit einigen Tagen erhält der Kommentator alle paar Stunden E-Mails zu seinem LinkedIn-Konto mit magischen Login-Links. Die E-Mails scheinen aus verschiedenen Orten weltweit zu stammen und wirken echt.