Los atacantes se dirigen a los usuarios de iPhone de Apple con una serie de Ataques con bombas del MFA que utilizan una serie incesante de alertas legítimas de notificación de restablecimiento de contraseña en lo que parece ser un intento de apoderarse de sus cuentas de iCloud. La actividad ha centrado la atención en la naturaleza cambiante de los llamados ataques con bombas de autenticación multifactor (MFA).
Un informe del sitio web de seguridad de la información KrebsOnSecurity destacó por primera vez la campaña, que está dirigida a ejecutivos de empresas y tecnología. El informe citó a varias personas que habían experimentado estos incidentes recientemente. Algunos dijeron que incluso recibió llamadas telefónicas “vishing” de personas que pretendían ser personal de soporte de Apple utilizando un número que falsificaba la línea oficial de atención al cliente de Apple.
En conversaciones con Dark Reading, los investigadores profundizaron en la actividad, destacando las nuevas tácticas de bombardeo que se utilizan en la campaña.
Inundación de restablecimiento de contraseña
La inundación de restablecimiento de contraseña y las llamadas telefónicas parecían ser un intento muy específico de engañar a las víctimas para que usaran sus dispositivos Apple para restablecer su ID de Apple. Una víctima que se comunicó con el supuesto personal de atención al cliente de Apple informó que se sorprendió al escuchar en su mayoría "totalmente exacto"Información que los atacantes parecían tener sobre él mientras intentaba examinar su credibilidad.
En otro caso, un individuo informó que las notificaciones automáticas continuaban sin cesar incluso después de cambiar su teléfono antiguo por un iPhone nuevo, cambiar su dirección de correo electrónico y crear una cuenta iCloud nueva. Otra víctima relató haber recibido solicitudes de restablecimiento de contraseña incluso después de habilitar una recuperación de claves para su ID de Apple a petición de un ingeniero de soporte de Apple. Apple ha promocionado la clave, una característica opcional, para ayudar a los usuarios a proteger mejor sus cuentas y desactivar los procesos estándar de recuperación de contraseñas de Apple.
La aparente capacidad del atacante para enviar docenas de solicitudes de restablecimiento en un corto período de tiempo generó algunas preguntas sobre un posible fallo en el mecanismo de restablecimiento de contraseña de Apple para cuentas de iCloud, como un posible problema de "límite de velocidad" que permite incorrectamente volúmenes de spam a nivel de spam. solicitudes de reinicio.
Apple no confirmó ni negó los ataques reportados. Tampoco respondió a la pregunta de Dark Reading sobre si los atacantes podrían estar aprovechando un error no revelado en la función de restablecimiento de contraseña de la empresa. En cambio, un portavoz de la compañía señaló un artículo de soporte que Apple publicó el 23 de febrero ofreciendo consejos a los clientes sobre cómo detectar y Evite mensajes de phishing, llamadas de soporte técnico falsas y otras estafas..
El portavoz destacó secciones del artículo relacionadas con los atacantes que a veces utilizan información de identificación de llamadas falsa para falsificar números de teléfono y, a menudo, afirman actividad sospechosa en una cuenta o dispositivo para que los usuarios realicen alguna acción no deseada. "Si recibe una llamada telefónica sospechosa o no solicitada de alguien que dice ser de Apple o del soporte técnico de Apple, simplemente cuelgue", señala el consejo.
Bombardeo del MFA: una táctica cibernética en evolución
Los ataques con bombas multifactoriales, también conocidos como ataques de fatiga multifactorial, son una hazaña de ingeniería social en el que los atacantes inundan el teléfono, la computadora o la cuenta de correo electrónico de un objetivo con notificaciones automáticas para aprobar un inicio de sesión o un restablecimiento de contraseña. La idea detrás de estos ataques es abrumar a un objetivo con tantas solicitudes de autenticación de segundo factor que eventualmente aceptan una por error o porque quieren que se detengan las notificaciones.
Por lo general, estos ataques involucran que los actores de amenazas primero obtengan ilegalmente el nombre de usuario y la contraseña de una cuenta de víctima y luego utilicen un ataque de bombardeo o fatiga para obtener autenticación de segundo factor en cuentas protegidas por MFA. En 2022, por ejemplo, los miembros del grupo de amenazas Lapsus$ obtuvieron las credenciales de VPN de una persona que trabajaba para un contratista externo de Uber. Luego usaron las credenciales para Intente iniciar sesión repetidamente en la cuenta VPN del contratista. desencadenando una solicitud de autenticación de dos factores en el teléfono del contratista cada vez, que el contratista finalmente aprobó. Luego, los atacantes utilizaron el acceso VPN para violar múltiples sistemas Uber.
El giro en los nuevos ataques con bombas del MFA dirigidos a usuarios de Apple es que los atacantes no parecen estar usando, ni siquiera exigiendo, ningún nombre de usuario o contraseña previamente obtenido.
"En ataques anteriores de MFA, el atacante habría comprometido la contraseña del usuario mediante phishing o fuga de datos y luego la habría utilizado muchas veces hasta que el usuario confirmara la notificación push de MFA", afirma el investigador de seguridad Matt Johansen. “En este ataque, todo lo que el hacker tiene es el número de teléfono del usuario o la dirección de correo electrónico asociada con una cuenta de iCloud y está aprovechando el flujo de 'contraseña olvidada' que aparece en el dispositivo confiable del usuario para permitir que se restablezca la contraseña. "
El restablecimiento de contraseña tiene un CAPTCHA para ayudar a limitar las solicitudes de restablecimiento, dice Johansen. Pero parece que los atacantes están eludiendo esto fácilmente, señala. El hecho de que los actores de amenazas estén falsificando el número de teléfono legítimo de soporte técnico de Apple y llamando al usuario al mismo tiempo que el bombardeo de MFA es otra diferencia notable.
“Entonces, el usuario está nervioso porque su dispositivo explota en solicitudes de MFA y recibe una llamada de un número legítimo de Apple que le dice que está aquí para ayudar, simplemente hágale saber qué código le enviaron a su teléfono. Supongo que esta es una táctica con una tasa de éxito muy alta”.
Según la información disponible sobre el ataque, es probable que los actores de la amenaza persigan a personas de alto patrimonio, añade Johansen. "Sospecho que la comunidad criptográfica sería la más afectada, según los informes iniciales", dice.
Jared Smith, ingeniero distinguido de SecurityScorecard, dice que es probable que los atacantes simplemente estén rellenando los formularios de restablecimiento de contraseña de Apple utilizando direcciones de correo electrónico conocidas de Apple iCloud/Me.com.
"Sería el equivalente a ir a X/Twitter e ingresar tu correo electrónico personal en el formulario de restablecimiento de contraseña, esperando o sabiendo que lo usas para Twitter, y molestarte o, si fuera inteligente, tener alguna forma de obtener la contraseña". restablecer códigos tuyos ".
Dice que es probable que Apple esté examinando las notificaciones masivas que se activan y considerando mecanismos de protección de denegación de servicio distribuido (DDoS) y limitación de velocidad más estrictos.
"Incluso si los actores de amenazas están utilizando mejores servidores proxy que ofrecen IP residenciales, todavía parecen estar enviando un volumen tan grande de intentos que Apple podría querer agregar CAPTCHA aún más agresivos" o una protección basada en la red de entrega de contenido (CDN). , dice Smith.
"Rechazar por defecto"
Cada vez está más claro que se requiere una autenticación más sólida más allá de MFA para proteger los dispositivos a medida que los atacantes encuentran nuevas formas de eludirla. Por ejemplo, los actores de amenazas actualmente tienen como objetivo Microsoft 365 y cuentas de correo electrónico de Gmail con campañas de phishing que utilizan un kit de phishing como servicio (PhaaS) para evitar MFA distribuido a través de Telegram llamado magnate 2FA eso está ganando terreno significativo.
Además, el vishing en sí se está convirtiendo en un Pandemia mundial de cibercriminales, con actores altamente capacitados y organizados en todo el mundo que se dirigen a personas con conocimiento de sus datos personales. De hecho, un informe publicado hoy por Hiya descubrió que el 28% de todas las llamadas desconocidas en 2023 fueron fraude o spam, con una pérdida promedio de $2,300 por usuario para aquellos que perdieron dinero a causa de estos ataques.
Los bombardeos de MFA y ataques similares "son un duro recordatorio de que los phishers encuentran cada vez más formas creativas de explotar la naturaleza humana para acceder a cuentas valiosas de las personas, en el trabajo y en el hogar", señala Anna Pobletts, directora de tecnología sin contraseña en 1Password.
Ella sugiere un enfoque de “rechazo por defecto” para cualquier llamada telefónica u otro tipo de mensaje o alerta que “parezca un poco inusual”, como una llamada no solicitada del servicio de atención al cliente, incluso si parece provenir de una entidad confiable.
Aun así, este consejo no es la solución óptima ya que “pone la carga de la seguridad en los usuarios”, afirma Pobletts. De hecho, la solución definitiva para que los atacantes eviten la MFA puede ser utilizar llaves maestras, que combaten los ataques de phishing como el bombardeo MFA al eliminar el uso de credenciales, que son "la recompensa que en última instancia buscan los piratas informáticos", dice.
Sin embargo, hasta que se adopten las claves de acceso, las empresas tendrán que tomar el relevo para “abordar rápidamente las vulnerabilidades y mejorar sus métodos de autenticación y flujos de recuperación”, agrega Pobletts.
Para los usuarios de iPhone que quieran evitar ser atacados por la actual avalancha de bombardeos del MFA, KrebsOnSecurity sugirió que pueden cambiar el número de teléfono asociado con su cuenta a un número VoIP, como uno de Skype o Google Voice, para evitar que los atacantes tengan acceso. a su número de iPhone y así dirigirse a ellos. Esto también desactivará iMessage y Facetime en el dispositivo, lo que "podría ser una ventaja para aquellos preocupados por reducir la superficie de ataque general de sus dispositivos Apple", añadió el sitio.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/mfa-bombing-attacks-target-apple-iphone-users
