Новая фишинговая атака использует ошибку сброса пароля Apple ID

Пример уведомления о сбросе пароля Apple ID

Пользователи Apple становятся объектом новой волны фишинговых атак под названием «MFA Bombing», которая основана на нетерпении пользователей и ошибке в механизме сброса пароля Apple.

Фишинговые атаки часто основаны на том, что пользователи предоставляют злоумышленнику информацию или позволяют ему что-то сделать со своей учетной записью, часто через электронную почту, текстовое сообщение или другие средства обмена сообщениями. Недавно обнаруженная фишинговая атака использовала новый маршрут, чтобы заставить жертв поддаться на нее, используя систему сброса паролей Apple.

Атака, получившая название «MFA Bombing», «MFA Fatigue» или «Push Bombing», подробно описана Кребсом в журнале Security, представляет собой тщательно продуманную фишинговую атаку, которая, судя по всему, вращается вокруг ошибки в функции сброса пароля. Жертвы завалены уведомлениями «Сбросить пароль», включая текст «Используйте этот iPhone для сброса пароля Apple ID» и варианты разрешения или отклонения запроса.

Это уведомление является подлинным. Обычно он отображается пользователю один раз, когда он пытается сбросить свой пароль Apple ID, как форма многофакторной аутентификации на iPhone, Mac, iPad или Apple Watch.

Проблема с атакой заключается в том, что злоумышленник бомбардирует цель большим количеством уведомлений. Есть надежда, что пользователь либо случайно выберет «Разрешить» вместо «Не разрешать», либо будет раздражен потоком уведомлений о том, что он выберет «Разрешить», чтобы остановить его.

В этом случае выбор «Разрешить» позволит злоумышленнику сбросить пароль Apple ID, предоставив доступ к учетной записи.

Уведомления, затем звонки

Если злоумышленникам не помогает большое количество уведомлений, может произойти второй этап, если они знают номер телефона цели.

Злоумышленники звонят жертве, выдавая себя за службу поддержки Apple, и подделывают номер вызывающего телефона, чтобы отобразить реальный номер службы поддержки клиентов Apple. После необычно большого количества уведомлений, которые могут показаться ошибкой, неосторожная жертва может поверить, что звонивший действительно принадлежит самой Apple.

Вчера вечером я подвергся сложной фишинговой атаке на мой Apple ID.

Это была попытка сконцентрировать усилия на мне.

Другие основатели подвергаются той же группе/атаке, поэтому я рассказываю о том, что произошло, для наглядности.

Вот как это произошло:

— Парт (@parth220_) 23 марта 2024 г.

Затем жертв просят подтвердить свою информацию, при этом злоумышленник использует источники данных, такие как веб-сайты, которые предлагают идентификационные данные, чтобы «подтвердить» другие данные учетной записи, чтобы быть более убедительными.

Как только жертва поверит, что звонил сотрудник службы поддержки Apple, злоумышленник может инициировать отправку кода сброса Apple ID жертве, пытаясь заставить ее раскрыть одноразовый пароль «агенту поддержки». Опять же, это позволяет злоумышленнику сбросить пароль учетной записи и заблокировать пользователя.

Не легко избежать

В случае с одним пользователем Apple, который получал уведомления в течение нескольких дней и был обеспокоен тем, насколько легко он мог предоставить злоумышленнику доступ, он связался с подлинной службой поддержки Apple по поводу проблем, и его проблема была передана старшему инженеру Apple.

Инженер сообщил, что включение ключа восстановления Apple не позволит злоумышленнику использовать стандартный процесс восстановления учетной записи. Это повлекло за собой создание 28-значного кода, который будет использоваться для восстановления учетной записи.

Однако, несмотря на то, что эта функция была включена в их учетной записи, уведомления о сбросе пароля продолжали приходить.

Apple не ответила на запросы Кребса о комментариях по этому поводу.

Неизвестно, действительно ли Apple знает о возможной ошибке уведомления в системе восстановления пароля. Однако ранее он уже решал аналогичную проблему с уведомлением.

В 2019 году эксплойт под названием «AirDoS» позволил злоумышленнику постоянно рассылать спам близлежащим устройствам iOS с предложением поделиться файлом через AirDrop. Проблема была исправлена ​​в iOS 13.3, через четыре месяца после ее обнаружения, когда Apple добавила более строгое ограничение скорости для запросов AirDrop.

Как защититься от бомбардировок МИД

У пользователей Apple, столкнувшихся с такой атакой, есть несколько возможностей предотвратить атаку. Но в настоящее время поступление уведомлений невозможно остановить.

Жертвы должны быть бдительными и выбирать «Не разрешать» каждый раз, когда оно появляется.

Если злоумышленники позвонят, нажав на код, лучше всего сказать им, что вы перезвоните им по официальному номеру службы поддержки Apple. Apple также не будет предоставлять информацию о клиенте по телефону в качестве формы проверки, что является еще одним показателем того, что звонивший не настоящий.

Включение ключа восстановления Apple — это более радикальный вариант, который поможет гарантировать, что злоумышленник не сможет выполнить сброс пароля учетной записи. Для выполнения этого действия в будущем вам потребуется иметь длинный пароль — и, как говорится в уведомлении, код не следует никому предоставлять, даже по запросу.