最近の「MFA Bombing」攻撃、Appleユーザーを標的に

 (krebsonsecurity.com)
1 ポイント 投稿者 GN⁺ 2024-03-28 | 1件のコメント | WhatsAppで共有

Apple顧客を狙った巧妙なフィッシング攻撃

  • 最近、Apple顧客が、Appleのパスワードリセット機能のバグのように見せかけた巧妙なフィッシング攻撃の標的になっている。
  • 攻撃対象者のAppleデバイスに数十件のシステムレベルのプロンプトを強制的に表示させ、それぞれのプロンプトに「許可」または「許可しない」で応答するまでデバイスを使えなくする。
  • ユーザーが誤って間違ったボタンを押さないとすると、詐欺師はAppleサポートを装って電話をかけ、ユーザーのアカウントが攻撃を受けており、ワンタイムコードを「確認」する必要があると伝える。

プッシュ爆撃攻撃とMFA疲労

  • 起業家のParth Patelは対話型AI分野のスタートアップを立ち上げようとしており、自身を標的にした最近のフィッシングキャンペーンをTwitterに記録した。
  • この攻撃は「プッシュ爆撃」または「MFA疲労」攻撃として知られており、多要素認証(MFA)システムの機能や弱点を悪用して、対象のデバイスにパスワード変更やログイン承認通知を大量に送りつける。
  • Patelは、自分のすべてのデバイスがAppleからアカウントのパスワードリセット承認を求めるシステム通知であふれたと述べている。

電話番号が鍵

  • 暗号資産ヘッジファンドのオーナーであるChrisも同様のフィッシングの試みに遭い、攻撃者は数日にわたってデバイスにリセット通知を送り続けた。
  • ChrisはAppleサポートを装った電話を受けたが、本物のAppleに電話して確認したところ、Appleが顧客に先に電話をかけることはないと言われた。
  • Chrisはパスワードを変更し、新しいiPhoneを購入した後、新しいメールアドレスで新しいApple iCloudアカウントを作成した。

気をつけて!

  • セキュリティ業界のベテランであるKenは、匿名を条件に、これと似た未承認のシステム通知を受け取ったが、偽のAppleサポート電話は受けなかったと語った。
  • KenはAppleサポートに連絡し、最終的に上級Appleエンジニアにつながり、アカウントにリカバリキーを有効化すれば通知は恒久的に止まると保証された。
  • リカバリキーはアカウントのセキュリティを向上させるオプションのセキュリティ機能であり、有効にするとAppleの標準アカウント復旧プロセスが無効になる。

レート制限

  • 適切に設計された認証システムが、ユーザーが最初のリクエストに対応する前に、数分のうちに数十件ものパスワード変更リクエストを送るものだろうか。
  • Appleはまだこの件に関するコメント要請に応じていない。

できることは?

  • Appleではアカウントに電話番号が必要だが、アカウント設定後は必ずしも携帯電話番号である必要はない。
  • AppleはGoogle VoiceのようなVOIP番号を受け付けるため、アカウントの電話番号をVOIP番号に変更することが1つの緩和策になり得る。

関連記事

1件のコメント

 
GN⁺ 2024-03-28
Hacker Newsの意見

  • 1つ目のコメント要約:

    記事と上位コメントでは重要な情報が抜けている: 誤って「許可」をタップしても、攻撃者がWebブラウザでパスワードを変更できるわけではない。「許可」をタップするとユーザーのデバイスに6桁のPINが表示され、ユーザーは自分のデバイスでパスワードを変更できる。攻撃の最終段階は、攻撃者がAppleの電話番号を装って電話をかけ、ユーザーに6桁のPINを読み上げるよう求めること。ユーザーが電話で6桁のPINを攻撃者に伝えると、攻撃者はそのPINを使ってユーザーのパスワードをリセットできる。

  • 2つ目のコメント要約:

    この問題は2021年または2022年にコメント投稿者とその妻に起きた。最初は1日に数回リクエストが来る程度だったが、時間がたつにつれて毎時リクエストが来るようになった。投稿者は攻撃者の試みを防ぐため、両方のアカウントで回復キーを使うよう設定した。さらに、データ保護を強化し、Webアクセスを無効化して、信頼できるデバイスだけがデータにアクセスし、新しいデバイスを登録できるようにした。

  • 3つ目のコメント要約:

    パスワードリセットのメッセージが別のデバイスでのパスワードリセットを許可するなら、その設計はかなりひどい。メッセージには「このiPhoneを使ってリセット」と明記されているので、「許可」をクリックした人が同じデバイスで新しいパスワードを設定すると考えるはずだ。

  • 4つ目のコメント要約:

    Appleデバイスでこうしたプロンプト(または昨年ニュースになったBluetoothベースの新規デバイス設定プロンプトのようなもの)をトリガーできる能力自体が問題ではないかと思う。パスワードをリセットできる機能は必要だが、記事によれば短時間に30回のパスワードリセット要求ができるという。なぜこれが悪意ある行為ではないと言えるのだろうか。

  • 5つ目のコメント要約:

    以前、Appleサポートセンターからの着信と表示された電話を受けたことがある。これはオンラインのApple Storeで新しいMacBookを注文してから2日後のことだった。配送を待っていたので危うく電話に出るところだったが、代わりにAppleサポートセンターへ直接電話して、本当に彼らが電話したのか確認した。彼らは電話していないと答えた。

  • 6つ目のコメント要約:

    こうした電話のもう1つの目的が、ユーザーの声を十分に集めて説得力のある音声クローンを作ることなのではないかと思う。

  • 7つ目のコメント要約:

    「許可」をクリックしたあと、正確には何が起こるのか混乱している。AppleはiForgot Webサイトでパスワードリセット用フォームを提供しているのか、それともそれはデバイスにのみ表示されるのか気になる。

  • 8つ目のコメント要約:

    約2年前にこの問題が起きた。iCloudでパスワードリセット要求が殺到しているときに、Apple Careからの電話を装った着信を受けると動揺する。攻撃者はApple関連の質問にも手慣れた様子で答えていた。投稿者のアカウントデータは大規模なLedgerハッキングで流出した可能性があり、攻撃者たちは暗号資産保有者を狙っていた。当時のiCloudセキュリティは非常に弱かった。

  • 9つ目のコメント要約:

    Push MFA(多要素認証)は導入当初から嫌いだった。コードを入力するのはそれほど大変ではないのに、結局はpush爆撃に対抗するためコード入力を要求するpush通知に行き着いてしまう。

  • 10つ目のコメント要約:

    数日前から、LinkedInアカウントについてマジックログインリンクを含むメールを数時間おきに受け取っている。メールは世界各地のさまざまな場所から送られているように見え、本物に見える。