Son dönemdeki 'MFA Bombing' saldırıları Apple kullanıcılarını hedef alıyor

 (krebsonsecurity.com)
1 puan yazan GN⁺ 2024-03-28 | 1 yorum | WhatsApp'ta paylaş

Apple müşterilerini hedef alan sofistike kimlik avı saldırısı

  • Son dönemde Apple müşterileri, Apple’ın parola sıfırlama işlevindeki bir hata gibi görünen sofistike bir kimlik avı saldırısının hedefi oldu.
  • Hedef alınan kişilerin Apple cihazları, onlarca sistem düzeyi istem gösterilmeye zorlanıyor; kullanıcı her isteme İzin Ver veya İzin Verme ile yanıtlayana kadar cihazı kullanmak imkansız hale geliyor.
  • Kullanıcının yanlışlıkla hatalı düğmeye basmadığını varsayarsak, dolandırıcılar Apple destek ekibi gibi davranarak arıyor ve kullanıcının hesabının saldırı altında olduğunu, tek kullanımlık kodu "doğrulaması" gerektiğini söylüyor.

Push bombing saldırısı ve MFA yorgunluğu

  • Girişimci Parth Patel, konuşmaya dayalı yapay zeka alanında bir startup kurmaya çalışıyor ve kendisini hedef alan son kimlik avı kampanyasını Twitter’da belgeledi.
  • Bu saldırı, 'push bombing' veya 'MFA yorgunluğu' saldırısı olarak biliniyor; çok faktörlü kimlik doğrulama (MFA) sistemlerinin işlevlerini ya da zayıflıklarını kötüye kullanarak hedefin cihazına parola değiştirme veya oturum açma onayı bildirimlerini yağdırıyor.
  • Patel, tüm cihazlarının Apple’dan gelen hesap parolası sıfırlama onayı isteyen sistem bildirimleriyle dolup taştığını söyledi.

Telefon numarası kilit unsur

  • Kripto para hedge fonu sahibi Chris de benzer bir kimlik avı girişimi yaşadı; saldırganlar günler boyunca cihazlarına sıfırlama bildirimleri göndermeyi sürdürdü.
  • Chris, Apple desteği gibi görünen bir telefon aldı ancak gerçek Apple’ı arayıp doğruladığında, Apple’ın müşterileri önce aramadığını öğrendi.
  • Chris parolasını değiştirdi, yeni bir iPhone satın aldı ve yeni bir e-posta adresiyle yeni bir Apple iCloud hesabı oluşturdu.

Dikkatli olun!

  • Güvenlik sektörünün deneyimli isimlerinden Ken, anonim kalmak şartıyla benzer yetkisiz sistem bildirimleri aldığını ancak sahte Apple destek araması almadığını söyledi.
  • Ken, Apple desteğiyle iletişime geçerek sonunda kıdemli bir Apple mühendisine bağlandı ve hesabında kurtarma anahtarını etkinleştirirse bu bildirimlerin kalıcı olarak duracağı güvencesini aldı.
  • Kurtarma anahtarı, hesabın güvenliğini artıran isteğe bağlı bir güvenlik özelliği; etkinleştirildiğinde Apple’ın standart hesap kurtarma süreci devre dışı kalıyor.

Hız sınırı

  • Makul şekilde tasarlanmış bir kimlik doğrulama sistemi, kullanıcı daha ilk isteğe yanıt vermeden birkaç dakika içinde onlarca parola değiştirme isteği gönderir mi?
  • Apple henüz bununla ilgili yorum talebine yanıt vermedi.

Ne yapılabilir?

  • Apple, hesapta bir telefon numarası bulunmasını zorunlu tutuyor ancak hesap kurulduktan sonra bunun mutlaka bir mobil numara olması gerekmiyor.
  • Apple, Google Voice gibi VOIP numaralarını kabul ettiğinden, hesap telefon numarasını bir VOIP numarasıyla değiştirmek olası bir azaltma yöntemi olabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-03-28
Hacker News görüşleri

  • Birinci yorum özeti:

    Haberde ve üst yorumlarda eksik kalan önemli bir bilgi var: Yanlışlıkla "İzin Ver"e dokunsanız bile saldırgan web tarayıcısı üzerinden parolayı değiştiremez. "İzin Ver"e dokunulduğunda kullanıcının cihazında 6 haneli bir PIN gösterilir ve kullanıcı parolasını kendi cihazında değiştirebilir. Saldırının son aşaması, saldırganın Apple’ın telefon numarasıymış gibi görünerek kullanıcıyı araması ve 6 haneli PIN’i okumasını istemesidir. Kullanıcı bu 6 haneli PIN’i telefonda saldırgana söylerse, saldırgan bu PIN’i kullanarak kullanıcının parolasını sıfırlayabilir.

  • İkinci yorum özeti:

    Bu sorun 2021 veya 2022’de yorum yazarı ve eşinin başına gelmiş. Başta günde birkaç kez istek geliyormuş, zamanla bu istekler saat başına gelmeye başlamış. Yorum yazarı, saldırganın denemelerini engellemek için her iki hesapta da kurtarma anahtarı kullanımını etkinleştirmiş. Ayrıca veri korumasını güçlendirip web erişimini devre dışı bırakarak, yalnızca güvenilen cihazların verilere erişebilmesini ve yeni cihaz kaydedebilmesini sağlamış.

  • Üçüncü yorum özeti:

    Eğer parola sıfırlama mesajı başka bir cihazda parola sıfırlamaya izin veriyorsa, bu tasarım çok kötü demektir. Mesajda açıkça "bu iPhone’u kullanarak sıfırla" deniyor; dolayısıyla "İzin Ver"e tıklayan kişinin aynı cihazda yeni parolayı ayarlayacağı varsayılıyor.

  • Dördüncü yorum özeti:

    Asıl sorunun, Apple cihazlarında bu tür istemleri tetikleyebilme yeteneğinin kendisi olup olmadığı sorgulanıyor; buna geçen yıl haber olan Bluetooth tabanlı yeni cihaz kurulum istemleri de dahil. Parola sıfırlama işlevi gerekli olabilir, ancak habere göre kısa sürede 30 parola sıfırlama isteği gönderilebiliyor. Bunun kötüye kullanım sayılmamasının nedeni ne olabilir?

  • Beşinci yorum özeti:

    Bir keresinde, Apple destek merkezinden geliyormuş gibi görünen bir telefon almış. Bu, online Apple Store’dan yeni bir MacBook sipariş ettikten iki gün sonra olmuş. Teslimatı beklediği için neredeyse telefonu açacakmış, ama bunun yerine Apple destek merkezini doğrudan arayıp gerçekten onların arayıp aramadığını sormuş. Onlar da aramadıklarını söylemiş.

  • Altıncı yorum özeti:

    Bu tür aramaların bir diğer amacının, kullanıcının sesini yeterince toplayıp ikna edici biçimde klonlamak olması ihtimalinin ne kadar yakında gerçeğe dönüşeceği merak ediliyor.

  • Yedinci yorum özeti:

    "İzin Ver"e tıklandıktan sonra tam olarak ne olduğuna dair kafa karışıklığı var. Apple’ın iForgot web sitesinde bir parola sıfırlama formu mu sunduğu, yoksa bunun yalnızca cihazda mı gösterildiği sorgulanıyor.

  • Sekizinci yorum özeti:

    Bu sorun yaklaşık iki yıl önce yaşanmış. iCloud’da parola sıfırlama talepleri yağarken, Apple Care’den geliyormuş gibi davranan bir telefon almak tedirgin edici olmuş. Saldırgan, Apple’la ilgili soruları ustalıkla yanıtlayabiliyormuş. Yorum yazarının hesap verileri muhtemelen büyük Ledger hack’inde sızdırılmış ve saldırganlar kripto para sahiplerini hedef alıyormuş. O dönemde iCloud güvenliği çok zayıfmış.

  • Dokuzuncu yorum özeti:

    Push MFA’dan (çok faktörlü kimlik doğrulama) ilk günden beri nefret ettiğini söylüyor. Kod girmek aslında zor değil, ama sonunda push bombardımanına karşı koymak için kod isteyen push bildirimlerine geri dönülüyor.

  • Onuncu yorum özeti:

    Birkaç gündür LinkedIn hesabı için birkaç saatte bir sihirli giriş bağlantısı içeren e-postalar alıyor. E-postalar dünyanın farklı yerlerinden gönderilmiş gibi görünüyor ve gerçek gibi duruyor.