Ataques recentes de 'MFA Bombing' têm como alvo usuários da Apple

 (krebsonsecurity.com)
1 pontos por GN⁺ 2024-03-28 | 1 comentários | Compartilhar no WhatsApp

Ataque de phishing sofisticado contra clientes da Apple

  • Recentemente, clientes da Apple passaram a ser alvo de um ataque de phishing sofisticado que parece explorar um bug no recurso de redefinição de senha da Apple.
  • Os dispositivos Apple das vítimas são forçados a exibir dezenas de prompts em nível de sistema, tornando impossível usar o aparelho até que respondam "Permitir" ou "Não Permitir" em cada um deles.
  • Partindo do pressuposto de que o usuário não clique por engano no botão errado, os golpistas então ligam se passando pelo suporte da Apple e dizem que a conta do usuário está sob ataque e que é preciso "confirmar" um código de uso único.

Ataque de bombardeio de push e fadiga de MFA

  • O fundador Parth Patel, que está tentando criar uma startup na área de IA conversacional, documentou no Twitter a campanha de phishing recente que o teve como alvo.
  • Esse ataque é conhecido como ataque de "push bombing" ou "fadiga de MFA" e explora funções ou fraquezas de sistemas de autenticação multifator (MFA), inundando o dispositivo da vítima com alertas de alteração de senha ou aprovação de login.
  • Patel disse que todos os seus dispositivos explodiram em notificações do sistema da Apple pedindo aprovação para redefinir a senha da conta.

O número de telefone é a chave

  • Chris, dono de um hedge fund de criptomoedas, passou por uma tentativa de phishing parecida, em que os invasores continuaram enviando notificações de redefinição para seus dispositivos ao longo de vários dias.
  • Chris recebeu uma ligação de alguém se passando pelo suporte da Apple, mas, ao ligar para a Apple de verdade para verificar, foi informado de que a empresa não faz ligações proativas para clientes.
  • Chris mudou a senha, comprou um novo iPhone e criou uma nova conta Apple iCloud com um novo endereço de e-mail.

Cuidado!

  • Ken, veterano da indústria de segurança, recebeu notificações de sistema não autorizadas semelhantes sob condição de anonimato, mas não recebeu a falsa ligação do suporte da Apple.
  • Ken entrou em contato com o suporte da Apple e acabou sendo encaminhado a um engenheiro sênior da Apple, que garantiu que ativar uma chave de recuperação na conta interromperia permanentemente as notificações.
  • A chave de recuperação é um recurso opcional de segurança que melhora a proteção da conta e, quando ativado, desabilita o processo padrão de recuperação de conta da Apple.

Limitação de taxa

  • Um sistema de autenticação projetado de forma razoável enviaria dezenas de solicitações de alteração de senha em poucos minutos, antes mesmo de o usuário conseguir responder ao primeiro pedido?
  • A Apple ainda não respondeu ao pedido de comentário sobre o caso.

O que você pode fazer?

  • A Apple exige que a conta tenha um número de telefone, mas, depois que a conta é configurada, ele não precisa necessariamente ser um número de celular.
  • A Apple aceita números VOIP como os do Google Voice, então mudar o número de telefone da conta para um número VOIP pode ser uma forma de mitigação.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-03-28
Opiniões do Hacker News

  • Resumo do primeiro comentário:

    Há uma informação importante faltando no artigo e nos comentários principais: mesmo que a pessoa toque em "Permitir" por engano, isso não permite que o invasor altere a senha no navegador. Ao tocar em "Permitir", um PIN de 6 dígitos é exibido no dispositivo do usuário, e é o próprio usuário que pode alterar a senha no seu dispositivo. A etapa final do ataque é o invasor ligar se passando pelo número da Apple e pedir que a vítima leia o PIN de 6 dígitos. Se o usuário informar esse PIN por telefone, o invasor poderá usá-lo para redefinir a senha da conta.

  • Resumo do segundo comentário:

    Isso aconteceu com o autor do comentário e com a esposa dele em 2021 ou 2022. No começo, os pedidos apareciam algumas vezes por dia, mas com o tempo passaram a chegar de hora em hora. Para bloquear a tentativa do invasor, ele configurou os dois perfis para usar chave de recuperação. Também reforçou a proteção dos dados e desativou o acesso via web, para que apenas dispositivos confiáveis pudessem acessar os dados e registrar novos aparelhos.

  • Resumo do terceiro comentário:

    Se a mensagem de redefinição de senha realmente permite redefinir a senha em outro dispositivo, então o design é muito ruim. A mensagem diz explicitamente "usar este iPhone para redefinir", então a expectativa é que quem clicou em "Permitir" vá definir a nova senha naquele mesmo dispositivo.

  • Resumo do quarto comentário:

    A dúvida é se o verdadeiro problema não é a própria capacidade de acionar esses prompts em dispositivos Apple (ou prompts parecidos, como os de configuração de novo dispositivo via Bluetooth que apareceram nas notícias no ano passado). A função de redefinir senha é necessária, mas, segundo o artigo, é possível fazer 30 solicitações de redefinição em pouco tempo. Por que isso não seria considerado comportamento malicioso?

  • Resumo do quinto comentário:

    Uma vez, a pessoa recebeu uma ligação que aparecia como se viesse do suporte da Apple. Isso aconteceu dois dias depois de ela pedir um novo MacBook na Apple Store online. Como estava esperando a entrega, quase atendeu, mas em vez disso ligou diretamente para o suporte da Apple para confirmar se eles tinham telefonado. Disseram que não.

  • Resumo do sexto comentário:

    Fica a dúvida de quanto tempo vai levar para que outro objetivo dessas ligações seja coletar amostras suficientes da voz do usuário para cloná-la de forma convincente.

  • Resumo do sétimo comentário:

    Há confusão sobre o que exatamente acontece depois de clicar em "Permitir". A dúvida é se a Apple fornece um formulário de redefinição de senha no site iForgot ou se isso aparece apenas no dispositivo.

  • Resumo do oitavo comentário:

    Isso aconteceu cerca de dois anos atrás. Quando pedidos de redefinição de senha do iCloud começam a chegar em massa, é assustador receber uma ligação fingindo ser do Apple Care. O invasor respondia com desenvoltura a perguntas relacionadas à Apple. É possível que os dados da conta do autor tenham vazado no grande hack da Ledger, e os invasores estariam mirando donos de criptomoedas. Na época, a segurança do iCloud era muito fraca.

  • Resumo do nono comentário:

    A pessoa diz que odeia o Push MFA desde que foi introduzido. Digitar um código nem é tão difícil, mas no fim tudo acaba virando notificação push que exige um código justamente para se defender contra bombardeio de push.

  • Resumo do décimo comentário:

    Há alguns dias, a pessoa vem recebendo a cada poucas horas emails da conta do LinkedIn com links mágicos de login. Os emails parecem legítimos e aparentam ter sido enviados de vários lugares diferentes ao redor do mundo.