การโจมตี 'MFA Bombing' ล่าสุด มุ่งเป้าไปที่ผู้ใช้ Apple

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 2024-03-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

การโจมตีฟิชชิงที่ซับซ้อนต่อผู้ใช้ Apple

  • ช่วงหลังมานี้ ลูกค้า Apple ตกเป็นเป้าของการโจมตีฟิชชิงที่ซับซ้อน ซึ่งดูเหมือนอาศัยบั๊กในฟังก์ชันรีเซ็ตรหัสผ่านของ Apple
  • ผู้โจมตีบังคับให้อุปกรณ์ Apple ของเหยื่อแสดงพรอมต์ระดับระบบหลายสิบรายการ ทำให้ไม่สามารถใช้งานอุปกรณ์ได้จนกว่าจะตอบแต่ละพรอมต์ด้วย "อนุญาต" หรือ "ไม่อนุญาต"
  • หากผู้ใช้ไม่ได้เผลอกดปุ่มผิด มิจฉาชีพจะโทรมาโดยสวมรอยเป็นฝ่ายสนับสนุนของ Apple และบอกว่าบัญชีของผู้ใช้กำลังถูกโจมตี พร้อมขอให้ "ยืนยัน" รหัสแบบใช้ครั้งเดียว

การโจมตีแบบ Push Bombing และความล้า MFA

  • Parth Patel ผู้ก่อตั้งสตาร์ทอัพที่กำลังพยายามสร้างธุรกิจด้าน conversational AI ได้บันทึกแคมเปญฟิชชิงล่าสุดที่พุ่งเป้ามาที่ตัวเขาบน Twitter
  • การโจมตีนี้เป็นที่รู้จักในชื่อการโจมตีแบบ 'push bombing' หรือ 'MFA fatigue' โดยเป็นการนำความสามารถหรือจุดอ่อนของระบบการยืนยันตัวตนหลายปัจจัย (MFA) มาใช้ในทางที่ผิด เพื่อถล่มอุปกรณ์ของเหยื่อด้วยการแจ้งเตือนให้เปลี่ยนรหัสผ่านหรืออนุมัติการเข้าสู่ระบบ
  • Patel กล่าวว่าอุปกรณ์ทุกเครื่องของเขาเต็มไปด้วยการแจ้งเตือนระดับระบบจาก Apple ที่ขออนุมัติการรีเซ็ตรหัสผ่านบัญชี

หมายเลขโทรศัพท์คือกุญแจสำคัญ

  • Chris เจ้าของกองทุนเฮดจ์ฟันด์คริปโตเคอร์เรนซี ก็เผชิญความพยายามฟิชชิงในลักษณะคล้ายกัน โดยผู้โจมตีส่งการแจ้งเตือนรีเซ็ตไปยังอุปกรณ์ของเขาต่อเนื่องหลายวัน
  • Chris ได้รับโทรศัพท์จากผู้ที่สวมรอยเป็นฝ่ายสนับสนุนของ Apple แต่เมื่อโทรไปตรวจสอบกับ Apple จริง เขาพบว่า Apple จะไม่โทรหาลูกค้าก่อน
  • Chris เปลี่ยนรหัสผ่าน ซื้อ iPhone เครื่องใหม่ และสร้างบัญชี Apple iCloud ใหม่ด้วยที่อยู่อีเมลใหม่

โปรดระวัง!

  • Ken ผู้คร่ำหวอดในอุตสาหกรรมความปลอดภัย ซึ่งขอไม่เปิดเผยตัวตน ได้รับการแจ้งเตือนระดับระบบที่ไม่ได้รับอนุญาตในลักษณะคล้ายกัน แต่ไม่ได้รับสายปลอมจากฝ่ายสนับสนุน Apple
  • Ken ติดต่อฝ่ายสนับสนุน Apple และในที่สุดก็ได้คุยกับวิศวกรอาวุโสของ Apple ซึ่งยืนยันว่าการเปิดใช้งาน recovery key สำหรับบัญชีจะทำให้การแจ้งเตือนเหล่านี้หยุดลงอย่างถาวร
  • recovery key เป็นฟีเจอร์ความปลอดภัยแบบเลือกใช้ที่ช่วยเพิ่มความปลอดภัยของบัญชี และเมื่อเปิดใช้งานแล้ว กระบวนการกู้คืนบัญชีมาตรฐานของ Apple จะถูกปิดใช้งาน

การจำกัดอัตรา

  • ระบบยืนยันตัวตนที่ออกแบบมาอย่างสมเหตุสมผล จะส่งคำขอเปลี่ยนรหัสผ่านหลายสิบครั้งภายในไม่กี่นาที ทั้งที่ผู้ใช้ยังไม่ทันตอบสนองต่อคำขอแรกจริงหรือ?
  • Apple ยังไม่ได้ตอบคำขอความเห็นเกี่ยวกับเรื่องนี้

ทำอะไรได้บ้าง?

  • Apple กำหนดให้บัญชีต้องมีหมายเลขโทรศัพท์ แต่หลังจากตั้งค่าบัญชีแล้ว หมายเลขนั้นไม่จำเป็นต้องเป็นหมายเลขมือถือเสมอไป
  • Apple ยอมรับหมายเลข VOIP เช่น Google Voice ดังนั้นการเปลี่ยนหมายเลขโทรศัพท์ของบัญชีเป็นหมายเลข VOIP อาจเป็นหนึ่งในแนวทางบรรเทาความเสี่ยงได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-03-28
ความเห็นบน Hacker News

  • สรุปความเห็นแรก:

    มีข้อมูลสำคัญที่บทความและความเห็นอันดับต้น ๆ ไม่ได้พูดถึง: ถึงจะเผลอแตะ "อนุญาต" ก็ไม่ได้หมายความว่าผู้โจมตีจะเปลี่ยนรหัสผ่านผ่านเว็บเบราว์เซอร์ได้ทันที เมื่อแตะ "อนุญาต" แล้ว อุปกรณ์ของผู้ใช้จะแสดงรหัส PIN 6 หลัก และผู้ใช้สามารถเปลี่ยนรหัสผ่านได้จากอุปกรณ์ของตนเอง ขั้นตอนสุดท้ายของการโจมตีคือผู้โจมตีโทรมาโดยปลอมเป็นหมายเลขโทรศัพท์ของ Apple แล้วขอให้ผู้ใช้อ่านรหัส PIN 6 หลักให้ฟัง หากผู้ใช้บอกรหัส PIN 6 หลักนั้นทางโทรศัพท์ ผู้โจมตีก็จะนำรหัสดังกล่าวไปรีเซ็ตรหัสผ่านของผู้ใช้ได้

  • สรุปความเห็นที่สอง:

    ปัญหานี้เคยเกิดกับผู้แสดงความคิดเห็นและภรรยาของเขาในปี 2021 หรือ 2022 ช่วงแรกมีคำขอเข้ามาวันละไม่กี่ครั้ง แต่เมื่อเวลาผ่านไปก็เริ่มเข้ามาทุกชั่วโมง ผู้แสดงความคิดเห็นตั้งค่าให้ทั้งสองบัญชีใช้ recovery key เพื่อขัดขวางความพยายามของผู้โจมตี นอกจากนี้ยังเพิ่มการปกป้องข้อมูลและปิดการเข้าถึงผ่านเว็บ เพื่อให้อุปกรณ์ที่เชื่อถือได้เท่านั้นที่เข้าถึงข้อมูลและลงทะเบียนอุปกรณ์ใหม่ได้

  • สรุปความเห็นที่สาม:

    หากข้อความรีเซ็ตรหัสผ่านอนุญาตให้รีเซ็ตรหัสผ่านจากอุปกรณ์อื่นได้ นั่นก็เป็นการออกแบบที่แย่มาก ข้อความระบุชัดว่า "ใช้ iPhone เครื่องนี้เพื่อรีเซ็ต" ดังนั้นจึงควรเข้าใจว่าคนที่กด "อนุญาต" จะเป็นคนตั้งรหัสผ่านใหม่บนอุปกรณ์เครื่องเดียวกันนั้น

  • สรุปความเห็นที่สี่:

    น่าสงสัยว่าความสามารถในการกระตุ้นพรอมป์ต์แบบนี้บนอุปกรณ์ Apple (หรืออย่างพรอมป์ต์ตั้งค่าอุปกรณ์ใหม่ผ่าน Bluetooth ที่เคยเป็นข่าวเมื่อปีที่แล้ว) นั้นเป็นปัญหาในตัวมันเองหรือไม่ การมีฟังก์ชันรีเซ็ตรหัสผ่านเป็นเรื่องจำเป็นก็จริง แต่ตามบทความบอกว่าสามารถส่งคำขอรีเซ็ตรหัสผ่านได้ 30 ครั้งในช่วงเวลาสั้น ๆ อะไรทำให้สิ่งนี้ไม่ถูกมองว่าเป็นพฤติกรรมที่เป็นอันตราย?

  • สรุปความเห็นที่ห้า:

    ครั้งหนึ่งเคยได้รับสายที่แสดงว่าโทรมาจากศูนย์ช่วยเหลือของ Apple เหตุการณ์นี้เกิดขึ้นสองวันหลังจากสั่ง MacBook เครื่องใหม่จาก Apple Store ออนไลน์ เพราะกำลังรอของส่งอยู่จึงเกือบจะรับสาย แต่สุดท้ายกลับโทรไปที่ศูนย์ช่วยเหลือของ Apple โดยตรงเพื่อถามว่าพวกเขาเป็นคนโทรมาหรือไม่ และได้รับคำตอบว่าไม่ได้โทรมา

  • สรุปความเห็นที่หก:

    ชวนสงสัยว่าอีกไม่นานแค่ไหน จุดประสงค์อีกอย่างของสายแบบนี้จะกลายเป็นการเก็บตัวอย่างเสียงของผู้ใช้ให้มากพอสำหรับนำไปโคลนเสียงอย่างน่าเชื่อถือ

  • สรุปความเห็นที่เจ็ด:

    ยังสับสนว่าเมื่อกด "อนุญาต" แล้วเกิดอะไรขึ้นกันแน่ สงสัยว่า Apple มีแบบฟอร์มรีเซ็ตรหัสผ่านบนเว็บไซต์ iForgot หรือว่ามันจะแสดงเฉพาะบนอุปกรณ์เท่านั้น

  • สรุปความเห็นที่แปด:

    เคยเจอปัญหานี้เมื่อราว 2 ปีก่อน ตอนที่มีคำขอรีเซ็ตรหัสผ่านจาก iCloud ถาโถมเข้ามา แล้วมีสายที่ปลอมเป็น Apple Care โทรเข้ามาด้วย ยิ่งทำให้ตกใจ ผู้โจมตีตอบคำถามเกี่ยวกับ Apple ได้อย่างคล่องแคล่ว ข้อมูลบัญชีของผู้แสดงความคิดเห็นอาจรั่วไหลจากการแฮ็ก Ledger ครั้งใหญ่ และผู้โจมตีก็มุ่งเป้าไปที่ผู้ถือครองคริปโทเคอร์เรนซี ตอนนั้นความปลอดภัยของ iCloud อ่อนแอมาก

  • สรุปความเห็นที่เก้า:

    เกลียด Push MFA (การยืนยันตัวตนหลายปัจจัย) มาตั้งแต่มีการนำมาใช้ การพิมพ์โค้ดไม่ใช่เรื่องยากอะไร แต่สุดท้ายก็จบลงที่ต้องเพิ่มการแจ้งเตือนแบบ push ที่ยังคงต้องใช้โค้ดอยู่ดี เพื่อรับมือกับการ bombard ด้วย push

  • สรุปความเห็นที่สิบ:

    ตั้งแต่ไม่กี่วันที่ผ่านมา กำลังได้รับอีเมลจากบัญชี LinkedIn ทุกไม่กี่ชั่วโมง ซึ่งมีลิงก์เข้าสู่ระบบแบบ magic link อยู่ด้วย อีเมลเหล่านี้ดูเหมือนถูกส่งมาจากหลายพื้นที่ทั่วโลกและดูเป็นของจริง