Các cuộc tấn công 'MFA Bombing' gần đây nhắm vào người dùng Apple

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 2024-03-28 | 1 bình luận | Chia sẻ qua WhatsApp

Cuộc tấn công lừa đảo tinh vi nhắm vào khách hàng Apple

  • Gần đây, khách hàng Apple đã trở thành mục tiêu của một cuộc tấn công lừa đảo tinh vi trông giống như một lỗi trong tính năng đặt lại mật khẩu của Apple.
  • Cuộc tấn công buộc các thiết bị Apple của nạn nhân hiển thị hàng chục lời nhắc ở cấp hệ thống, khiến họ không thể sử dụng thiết bị cho đến khi phản hồi từng lời nhắc bằng "Cho phép" hoặc "Không cho phép".
  • Giả sử người dùng không vô tình bấm nhầm nút, những kẻ lừa đảo sẽ gọi điện mạo danh bộ phận hỗ trợ của Apple và nói rằng tài khoản của người dùng đang bị tấn công, đồng thời cần "xác minh" mã dùng một lần.

Tấn công push bombing và sự mệt mỏi MFA

  • Nhà sáng lập Parth Patel, người đang cố gắng xây dựng một startup trong lĩnh vực AI hội thoại, đã ghi lại chiến dịch lừa đảo gần đây nhắm vào mình trên Twitter.
  • Cuộc tấn công này được biết đến với tên gọi "push bombing" hoặc tấn công "MFA fatigue", lạm dụng chức năng hoặc điểm yếu của hệ thống xác thực đa yếu tố (MFA) để dồn dập thiết bị của mục tiêu bằng các thông báo đổi mật khẩu hoặc phê duyệt đăng nhập.
  • Patel cho biết tất cả thiết bị của anh đã bùng nổ với các thông báo hệ thống từ Apple yêu cầu phê duyệt đặt lại mật khẩu tài khoản.

Số điện thoại là chìa khóa

  • Chris, chủ sở hữu một quỹ phòng hộ tiền mã hóa, cũng đã trải qua một nỗ lực lừa đảo tương tự, trong đó những kẻ tấn công liên tục gửi thông báo đặt lại đến thiết bị của anh trong nhiều ngày.
  • Chris nhận được một cuộc gọi mạo danh hỗ trợ Apple, nhưng sau khi gọi cho Apple thật để xác minh, anh được biết Apple không chủ động gọi cho khách hàng trước.
  • Chris đã đổi mật khẩu, mua một chiếc iPhone mới và tạo một tài khoản Apple iCloud mới bằng một địa chỉ email mới.

Hãy cẩn thận!

  • Ken, một cựu binh trong ngành bảo mật, với điều kiện giấu tên, cũng nhận được các thông báo hệ thống trái phép tương tự nhưng không nhận được cuộc gọi giả mạo hỗ trợ Apple.
  • Ken đã liên hệ với bộ phận hỗ trợ Apple và cuối cùng được kết nối với một kỹ sư cấp cao của Apple, người đảm bảo rằng việc kích hoạt khóa khôi phục cho tài khoản sẽ chấm dứt vĩnh viễn các thông báo này.
  • Khóa khôi phục là một tính năng bảo mật tùy chọn giúp cải thiện an toàn cho tài khoản; khi được kích hoạt, quy trình khôi phục tài khoản tiêu chuẩn của Apple sẽ bị vô hiệu hóa.

Giới hạn tốc độ

  • Một hệ thống xác thực được thiết kế hợp lý liệu có gửi hàng chục yêu cầu đổi mật khẩu chỉ trong vài phút trước cả khi người dùng kịp phản hồi yêu cầu đầu tiên không?
  • Apple vẫn chưa phản hồi yêu cầu bình luận về vấn đề này.

Có thể làm gì?

  • Apple yêu cầu tài khoản phải có số điện thoại, nhưng sau khi thiết lập tài khoản, số đó không nhất thiết phải là số di động.
  • Apple chấp nhận các số VOIP như Google Voice, vì vậy việc đổi số điện thoại của tài khoản sang số VOIP có thể là một biện pháp giảm thiểu.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-03-28
Ý kiến trên Hacker News

  • Tóm tắt bình luận đầu tiên:

    Có một thông tin quan trọng bị thiếu trong bài viết và các bình luận hàng đầu: ngay cả khi vô tình chạm vào "Cho phép", kẻ tấn công cũng không thể đổi mật khẩu từ trình duyệt web. Khi chạm vào "Cho phép", một mã PIN 6 chữ số sẽ hiện trên thiết bị của người dùng, và người dùng có thể đổi mật khẩu trên chính thiết bị của mình. Bước cuối của cuộc tấn công là kẻ tấn công giả mạo số điện thoại của Apple để gọi cho người dùng và yêu cầu đọc mã PIN 6 chữ số đó. Nếu người dùng cung cấp mã PIN 6 chữ số qua điện thoại cho kẻ tấn công, kẻ tấn công có thể dùng mã đó để đặt lại mật khẩu của người dùng.

  • Tóm tắt bình luận thứ hai:

    Vấn đề này đã xảy ra với người bình luận và vợ anh ấy vào năm 2021 hoặc 2022. Ban đầu mỗi ngày chỉ có vài yêu cầu, nhưng theo thời gian thì bắt đầu xuất hiện mỗi giờ. Người bình luận đã cấu hình cả hai tài khoản dùng khóa khôi phục để chặn nỗ lực của kẻ tấn công. Ngoài ra, họ cũng tăng cường bảo vệ dữ liệu và vô hiệu hóa truy cập web để chỉ các thiết bị đáng tin cậy mới có thể truy cập dữ liệu và đăng ký thiết bị mới.

  • Tóm tắt bình luận thứ ba:

    Nếu thông báo đặt lại mật khẩu cho phép đặt lại mật khẩu từ một thiết bị khác, thì đó là một thiết kế rất tệ. Thông báo ghi rõ "dùng iPhone này để đặt lại", nên có thể hiểu rằng người bấm "Cho phép" sẽ đặt mật khẩu mới trên chính thiết bị đó.

  • Tóm tắt bình luận thứ tư:

    Có thể chính khả năng kích hoạt các lời nhắc như thế này trên thiết bị Apple (hoặc những lời nhắc thiết lập thiết bị mới dựa trên Bluetooth từng xuất hiện trên tin tức năm ngoái) mới là vấn đề. Chức năng đặt lại mật khẩu là cần thiết, nhưng theo bài báo thì có thể gửi 30 yêu cầu đặt lại mật khẩu trong thời gian ngắn. Vì sao điều đó lại không bị xem là hành vi ác ý?

  • Tóm tắt bình luận thứ năm:

    Có lần người bình luận nhận được một cuộc gọi hiển thị là từ trung tâm hỗ trợ Apple. Việc này xảy ra hai ngày sau khi họ đặt mua một chiếc MacBook mới trên Apple Store trực tuyến. Vì đang chờ giao hàng nên họ suýt nghe máy, nhưng thay vào đó đã tự gọi trực tiếp cho trung tâm hỗ trợ Apple để xác nhận xem phía Apple có thực sự gọi hay không. Họ trả lời là không.

  • Tóm tắt bình luận thứ sáu:

    Người bình luận tự hỏi sẽ mất bao lâu trước khi một mục đích khác của những cuộc gọi như vậy là thu thập đủ giọng nói của người dùng để sao chép lại một cách thuyết phục.

  • Tóm tắt bình luận thứ bảy:

    Người bình luận thấy không rõ chính xác điều gì xảy ra sau khi bấm "Cho phép". Họ thắc mắc liệu Apple có cung cấp biểu mẫu đặt lại mật khẩu trên trang web iForgot hay chỉ hiển thị nó trên thiết bị.

  • Tóm tắt bình luận thứ tám:

    Vấn đề này đã xảy ra khoảng 2 năm trước. Khi yêu cầu đặt lại mật khẩu từ iCloud dồn dập xuất hiện, việc nhận một cuộc gọi giả làm từ Apple Care khiến người dùng rất hoang mang. Kẻ tấn công trả lời rất rành các câu hỏi liên quan đến Apple. Dữ liệu tài khoản của người bình luận có thể đã bị lộ trong vụ hack Ledger lớn, và những kẻ tấn công nhắm vào các chủ sở hữu tiền mã hóa. Vào thời điểm đó, bảo mật iCloud rất yếu.

  • Tóm tắt bình luận thứ chín:

    Người bình luận ghét Push MFA kể từ khi nó được đưa vào sử dụng. Việc nhập mã thực ra đâu có khó, nhưng rồi cuối cùng mọi thứ lại biến thành thông báo đẩy có yêu cầu mã để chống lại kiểu tấn công bombard push.

  • Tóm tắt bình luận thứ mười:

    Từ vài ngày trước, người bình luận liên tục nhận được email vài tiếng một lần từ tài khoản LinkedIn của mình, trong đó có liên kết đăng nhập ma thuật. Các email này có vẻ được gửi từ nhiều địa điểm khác nhau trên khắp thế giới và trông như là email thật.