আক্রমণকারীরা অ্যাপল আইফোন ব্যবহারকারীদের লক্ষ্যবস্তু করছে এমএফএ বোমা হামলা যেগুলি বৈধ পাসওয়ার্ড-রিসেট বিজ্ঞপ্তি সতর্কতার একটি নিরলস সিরিজ ব্যবহার করে যা তাদের আইক্লাউড অ্যাকাউন্টগুলি দখল করার চেষ্টা বলে মনে হয়। কার্যকলাপ তথাকথিত মাল্টিফ্যাক্টর প্রমাণীকরণ (MFA) বোমা হামলার বিকশিত প্রকৃতির উপর মনোযোগ নিবদ্ধ করেছে।
তথ্য সুরক্ষা ওয়েবসাইট KrebsOnSecurity-এর একটি প্রতিবেদন প্রথম প্রচারণাকে হাইলাইট করেছে, যা ব্যবসায়িক এবং প্রযুক্তিনির্বাহকদের লক্ষ্য করে। প্রতিবেদনে এমন একাধিক ব্যক্তিকে উদ্ধৃত করা হয়েছে যারা সম্প্রতি এই ঘটনার সম্মুখীন হয়েছেন। কয়েকজন বলেছিল যে তারা এমনকি করেছে "ভিশিং" ফোন কল পেয়েছি অ্যাপলের অফিসিয়াল কাস্টমার সাপোর্ট লাইনকে ফাঁকি দেয় এমন একটি নম্বর ব্যবহার করে অ্যাপল সাপোর্ট স্টাফ হওয়ার দাবি করা ব্যক্তিদের কাছ থেকে।
ডার্ক রিডিং-এর সাথে কথোপকথনে, গবেষকরা অভিযানে ব্যবহৃত নতুন বোমা হামলার কৌশলগুলিকে হাইলাইট করে কার্যকলাপের মধ্যে পড়েন।
পাসওয়ার্ড রিসেট বন্যা
পাসওয়ার্ড রিসেট বন্যা এবং ফোন কলগুলি তাদের অ্যাপল আইডি রিসেট করার জন্য তাদের অ্যাপল ডিভাইস ব্যবহার করার জন্য ক্ষতিগ্রস্তদের প্রতারণা করার জন্য একটি অত্যন্ত লক্ষ্যবস্তু প্রয়াস বলে মনে হয়েছে। একজন ভুক্তভোগী যিনি অনুমিত অ্যাপল গ্রাহক সহায়তা কর্মীদের সাথে জড়িত ছিলেন তিনি বেশিরভাগই "চমকে যাওয়ার কথা জানিয়েছেন"সম্পূর্ণ নির্ভুল" যে তথ্য আক্রমণকারীদের কাছে তার সম্পর্কে ছিল বলে মনে হয়েছিল যখন তিনি তাদের বিশ্বাসযোগ্যতা যাচাই করার চেষ্টা করেছিলেন।
অন্য একটি দৃষ্টান্তে, একজন ব্যক্তি একটি নতুন আইফোনের জন্য তার পুরানো ফোন অদলবদল করার পরেও, তার ইমেল ঠিকানা পরিবর্তন করার পরেও এবং একটি নতুন আইক্লাউড অ্যাকাউন্ট তৈরি করার পরেও পুশ বিজ্ঞপ্তিগুলি অবিরত বলে রিপোর্ট করেছেন৷ অন্য একজন ভুক্তভোগী একটি সক্রিয় করার পরেও পাসওয়ার্ড পুনরায় সেট করার অনুরোধ প্রাপ্তির কথা বলেছে পুনরুদ্ধার কী অ্যাপল সাপোর্ট ইঞ্জিনিয়ারের অনুরোধে তাদের অ্যাপল আইডির জন্য। অ্যাপল কীটিকে বলেছে - একটি ঐচ্ছিক বৈশিষ্ট্য - ব্যবহারকারীদের তাদের অ্যাকাউন্টগুলি আরও ভালভাবে সুরক্ষিত করতে এবং অ্যাপলের স্ট্যান্ডার্ড পাসওয়ার্ড পুনরুদ্ধার প্রক্রিয়াগুলি বন্ধ করতে সহায়তা করে৷
অল্প সময়ের মধ্যে কয়েক ডজন রিসেট অনুরোধ পাঠানোর আক্রমণকারীর আপাত ক্ষমতা আইক্লাউড অ্যাকাউন্টগুলির জন্য অ্যাপলের পাসওয়ার্ড রিসেট পদ্ধতিতে সম্ভাব্য ত্রুটির কিছু প্রশ্নের উদ্রেক করেছে, যেমন একটি সম্ভাব্য "রেট-সীমা" সমস্যা যা ভুলভাবে স্প্যাম-স্তরের ভলিউমগুলিকে অনুমতি দেয়। রিসেট অনুরোধ।
অ্যাপল রিপোর্ট করা হামলার বিষয়টি নিশ্চিত বা অস্বীকার করেনি। আক্রমণকারীরা কোম্পানির পাসওয়ার্ড রিসেট বৈশিষ্ট্যে একটি অপ্রকাশিত বাগ ব্যবহার করছে কিনা সে বিষয়ে ডার্ক রিডিংয়ের প্রশ্নের উত্তরও দেয়নি। পরিবর্তে, একটি কোম্পানির মুখপাত্র একটি সমর্থন নিবন্ধের দিকে ইঙ্গিত করেছেন যেটি অ্যাপল 23 ফেব্রুয়ারী প্রকাশ করেছে যেটি কীভাবে চিহ্নিত করা যায় এবং গ্রাহকদের পরামর্শ দেয়। ফিশিং বার্তা, নকল সমর্থন কল এবং অন্যান্য স্ক্যাম এড়িয়ে চলুন.
মুখপাত্র নিবন্ধটির অংশগুলি হাইলাইট করেছেন যা আক্রমণকারীরা কখনও কখনও ফোন নম্বরগুলি ফাঁকি দেওয়ার জন্য জাল কলার আইডি তথ্য ব্যবহার করে এবং ব্যবহারকারীদের কিছু অবাঞ্ছিত পদক্ষেপ নেওয়ার জন্য প্রায়শই একটি অ্যাকাউন্ট বা ডিভাইসে সন্দেহজনক কার্যকলাপের দাবি করে। "আপনি যদি অ্যাপল বা অ্যাপল সাপোর্ট থেকে বলে দাবি করে এমন কারো কাছ থেকে একটি অযাচিত বা সন্দেহজনক ফোন কল পান, তাহলে শুধু হ্যাং আপ করুন," পরামর্শে উল্লেখ করা হয়েছে।
এমএফএ বোমা হামলা: একটি বিকশিত সাইবার কৌশল
মাল্টিফ্যাক্টর বোমা হামলা — মাল্টিফ্যাক্টর ফ্যাটিগ অ্যাটাক নামেও পরিচিত — হল a সামাজিক প্রকৌশল শোষণ যেখানে আক্রমণকারীরা লগইন বা পাসওয়ার্ড রিসেট অনুমোদনের জন্য পুশ বিজ্ঞপ্তি সহ একটি লক্ষ্যের ফোন, কম্পিউটার বা ইমেল অ্যাকাউন্ট প্লাবিত করে। এসব হামলার পেছনের ধারণাটি ড একটি লক্ষ্য অভিভূত অনেকগুলি দ্বিতীয়-ফ্যাক্টর প্রমাণীকরণের অনুরোধের সাথে যে তারা শেষ পর্যন্ত ভুলবশত একটি গ্রহণ করে বা কারণ তারা বিজ্ঞপ্তিগুলি বন্ধ করতে চায়।
সাধারণত, এই আক্রমণগুলির মধ্যে হুমকি অভিনেতারা জড়িত থাকে যারা প্রথমে একটি ভিকটিম অ্যাকাউন্টে অবৈধভাবে ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রাপ্ত করে এবং তারপর MFA দ্বারা সুরক্ষিত অ্যাকাউন্টগুলিতে দ্বিতীয়-ফ্যাক্টর প্রমাণীকরণ পেতে বোমাবাজি বা ক্লান্তি আক্রমণ ব্যবহার করে। 2022 সালে, উদাহরণস্বরূপ, Lapsus$ হুমকি গোষ্ঠীর সদস্যরা Uber-এর জন্য তৃতীয় পক্ষের ঠিকাদারের জন্য কাজ করা একজন ব্যক্তির জন্য VPN শংসাপত্র পেয়েছে। তারপর তারা প্রমাণপত্র ব্যবহার বারবার চেষ্টা করুন এবং ঠিকাদারের ভিপিএন অ্যাকাউন্টে লগ ইন করুন প্রতিবার ঠিকাদারের ফোনে একটি দ্বি-ফ্যাক্টর প্রমাণীকরণ অনুরোধ ট্রিগার করা - যা ঠিকাদার চূড়ান্তভাবে অনুমোদন করে। আক্রমণকারীরা তখন ভিপিএন অ্যাক্সেস ব্যবহার করে একাধিক উবার সিস্টেম লঙ্ঘন করে।
অ্যাপল ব্যবহারকারীদের লক্ষ্য করে নতুন এমএফএ বোমা হামলার মোড় হল যে আক্রমণকারীরা পূর্বে প্রাপ্ত ব্যবহারকারীর নাম বা পাসওয়ার্ড ব্যবহার করছে বলে মনে হচ্ছে না - এমনকি প্রয়োজনও হচ্ছে না।
নিরাপত্তা গবেষক ম্যাট জোহানসেন বলেছেন, "আগের এমএফএ বোমা হামলায়, আক্রমণকারী ফিশিং বা ডেটা ফাঁসের মাধ্যমে ব্যবহারকারীর পাসওয়ার্ডের সাথে আপস করত এবং তারপর ব্যবহারকারী এমএফএ পুশ বিজ্ঞপ্তি নিশ্চিত না করা পর্যন্ত এটি বহুবার ব্যবহার করত।" “এই আক্রমণে, হ্যাকারের কাছে সমস্ত ব্যবহারকারীর ফোন নম্বর বা একটি iCloud অ্যাকাউন্টের সাথে যুক্ত ইমেল ঠিকানা রয়েছে এবং তারা ব্যবহারকারীর বিশ্বস্ত ডিভাইসে পাসওয়ার্ড রিসেট করার অনুমতি দেওয়ার জন্য 'পাসওয়ার্ড ভুলে গেছে' প্রবাহের সুবিধা নিচ্ছে। "
জোহানসেন বলেছেন, পাসওয়ার্ড রিসেটটিতে একটি ক্যাপচা রয়েছে যা রিসেট অনুরোধগুলিকে সীমাবদ্ধ করতে সহায়তা করে। কিন্তু মনে হচ্ছে আক্রমণকারীরা সহজেই তা এড়িয়ে যাচ্ছে, তিনি উল্লেখ করেন। হুমকি অভিনেতারা বৈধ অ্যাপল সাপোর্ট ফোন নম্বরটি ফাঁকি দিচ্ছে এবং এমএফএ বোমা হামলার সময় ব্যবহারকারীকে কল করছে তা আরেকটি উল্লেখযোগ্য পার্থক্য।
“সুতরাং, ব্যবহারকারীরা তাদের ডিভাইসটি MFA অনুরোধে উড়িয়ে দেওয়ায় হতবাক হয়ে যায় এবং তারা একটি বৈধ অ্যাপল নম্বর থেকে একটি কল পায় যা বলে যে তারা এখানে সাহায্য করতে এসেছে, শুধু তাদের জানান যে তারা তাদের ফোনে কী কোড পাঠানো হয়েছে। আমি অনুমান করছি এটি একটি অত্যন্ত উচ্চ সাফল্য-হার কৌশল।"
আক্রমণ সম্পর্কে উপলব্ধ তথ্যের ভিত্তিতে, সম্ভবত হুমকি অভিনেতারা উচ্চ সম্পদশালী ব্যক্তিদের অনুসরণ করছে, জোহানসেন যোগ করেছেন। "প্রাথমিক রিপোর্ট থেকে ক্রিপ্টো সম্প্রদায় সবচেয়ে বেশি আঘাত পাবে বলে আমি সন্দেহ করি," তিনি বলেছেন।
জ্যারেড স্মিথ, সিকিউরিটিস্কোরকার্ডের বিশিষ্ট প্রকৌশলী বলেছেন, সম্ভবত আক্রমণকারীরা পরিচিত Apple iCloud/Me.com ইমেল ঠিকানাগুলি ব্যবহার করে অ্যাপলের রিসেট পাসওয়ার্ড ফর্মগুলিকে শংসাপত্রে স্টাফ করছে।
"এটা আমার কাছে X/Twitter-এ যাওয়া এবং আপনার ব্যক্তিগত ইমেলটিকে রিসেট পাসওয়ার্ড ফর্মে প্লাগ করার সমতুল্য, আশা করা বা আপনি এটি টুইটারের জন্য ব্যবহার করছেন তা জেনে, এবং হয় আপনাকে বিরক্ত করা বা, আমি যদি স্মার্ট হতাম, কোন উপায় পাওয়ার জন্য আপনার কাছ থেকে কোড রিসেট করুন।"
তিনি বলেছেন যে সম্ভবত অ্যাপল ট্রিগার হওয়া গণ বিজ্ঞপ্তিগুলি পরীক্ষা করছে এবং আরও কঠোর হার সীমাবদ্ধ এবং বিতরণ অস্বীকার-অফ-সার্ভিস (DDoS) সুরক্ষা ব্যবস্থা বিবেচনা করছে।
"এমনকি যদি হুমকি অভিনেতারা ভাল প্রক্সি সার্ভার ব্যবহার করে যা আবাসিক আইপি অফার করে, তবুও তারা এত বড় পরিমানে প্রয়াস পাঠাচ্ছে বলে মনে হচ্ছে অ্যাপল আরও বেশি আক্রমনাত্মক ক্যাপচা যোগ করতে চাইবে" বা একটি সামগ্রী বিতরণ নেটওয়ার্ক (CDN)-ভিত্তিক সুরক্ষা , স্মিথ বলেছেন.
"ডিফল্টভাবে প্রত্যাখ্যান করুন"
এটি প্রচুর পরিমাণে স্পষ্ট হয়ে উঠছে যে ডিভাইসগুলিকে সুরক্ষিত করার জন্য MFA এর বাইরে শক্তিশালী প্রমাণীকরণ প্রয়োজন কারণ আক্রমণকারীরা এটিকে বাইপাস করার নতুন উপায় খুঁজে পায়। উদাহরণস্বরূপ, হুমকি অভিনেতারা বর্তমানে টার্গেট করছে মাইক্রোসফ্ট 365 এবং জিমেইল ইমেল অ্যাকাউন্টগুলি ফিশিং প্রচারাভিযান সহ একটি MFA-বাইপাস ফিশিং-এ-সার্ভিস (PhaaS) কিট ব্যবহার করে টেলিগ্রামের মাধ্যমে বিতরণ করা হয় টাইকুন 2FA যে উল্লেখযোগ্য আকর্ষণ অর্জন করছে.
তাছাড়া ভিশিং নিজেই হয়ে যাচ্ছে বিশ্বব্যাপী সাইবার অপরাধী মহামারী, বিশ্বজুড়ে অত্যন্ত দক্ষ এবং সংগঠিত অভিনেতাদের সাথে তাদের ব্যক্তিগত ডেটার জ্ঞানের সাথে লোকেদের লক্ষ্য করে। আসলে, ক প্রতিবেদনটি আজ প্রকাশ করেছে হিয়া দেখা গেছে যে 28 সালের সমস্ত অজানা কলগুলির মধ্যে 2023% প্রতারণা বা স্প্যাম ছিল, যারা এই আক্রমণগুলিতে অর্থ হারিয়েছে তাদের প্রতি ব্যবহারকারীর গড় ক্ষতি $2,300।
এমএফএ বোমা বিস্ফোরণ এবং অনুরূপ আক্রমণ "একটি কঠিন অনুস্মারক যে ফিশাররা কর্মক্ষেত্রে এবং বাড়িতে মানুষের মূল্যবান অ্যাকাউন্টগুলি অ্যাক্সেস করার জন্য মানুষের প্রকৃতিকে কাজে লাগানোর জন্য ক্রমবর্ধমান সৃজনশীল উপায় খুঁজে পাচ্ছে," 1পাসওয়ার্ডের পাসওয়ার্ডবিহীন প্রধান আনা পবলেটস নোট করেছেন৷
তিনি যেকোন ফোন কল বা অন্য ধরনের বার্তা বা সতর্কতার ক্ষেত্রে একটি "ডিফল্টভাবে প্রত্যাখ্যান" পদ্ধতির পরামর্শ দেন যা "সামান্য বিট অস্বাভাবিক বলে মনে হয়", যেমন গ্রাহক পরিষেবা থেকে একটি অযাচিত কল, এমনকি যদি এটি একটি বিশ্বস্ত সত্তা থেকে আসে বলে মনে হয়।
তবুও, এই পরামর্শটি সর্বোত্তম সমাধান নয় কারণ এটি "ব্যবহারকারীদের উপর নিরাপত্তার বোঝা চাপিয়ে দেয়," পবলেটস বলে। প্রকৃতপক্ষে, আক্রমণকারীদের দ্বারা MFA বাইপাসের চূড়ান্ত সমাধান ব্যবহার করা হতে পারে পাসকি, which combat phishing attacks like MFA bombing by eliminating the use of credentials, which are “the reward that hackers are ultimately after,” she says.
যাইহোক, যতক্ষণ না পাসকিগুলি গ্রহণ না করা হয়, কোম্পানিগুলিকে "দ্রুতভাবে দুর্বলতাগুলি মোকাবেলা করতে এবং তাদের প্রমাণীকরণ পদ্ধতি এবং পুনরুদ্ধারের প্রবাহ উন্নত করতে ঢিলেঢালা পদক্ষেপ নিতে হবে," Pobletts যোগ করে।
আইফোন ব্যবহারকারীদের জন্য যারা এমএফএ বোমা হামলার বর্তমান স্পট দ্বারা লক্ষ্যবস্তু হওয়া এড়াতে চান, ক্রেবসঅনসিকিউরিটি পরামর্শ দিয়েছে যে তারা তাদের অ্যাকাউন্টের সাথে যুক্ত ফোন নম্বরটিকে একটি ভিওআইপি নম্বরে পরিবর্তন করতে পারে - যেমন স্কাইপ বা গুগল ভয়েস থেকে - আক্রমণকারীদের অ্যাক্সেস এড়াতে। তাদের আইফোন নম্বরে এবং এইভাবে তাদের লক্ষ্যবস্তু। এটি ডিভাইসে iMessage এবং Facetime অক্ষম করবে, যা "তাদের অ্যাপল ডিভাইসের সামগ্রিক আক্রমণের পৃষ্ঠকে হ্রাস করার বিষয়ে উদ্বিগ্নদের জন্য একটি বোনাস হতে পারে," সাইটটি যোগ করেছে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
