Serangan 'MFA Bombing' terbaru menargetkan pengguna Apple

 (krebsonsecurity.com)
1 poin oleh GN⁺ 2024-03-28 | 1 komentar | Bagikan ke WhatsApp

Serangan phishing canggih yang menargetkan pelanggan Apple

  • Baru-baru ini, pelanggan Apple menjadi sasaran serangan phishing canggih yang tampak seperti bug pada fitur pengaturan ulang kata sandi Apple.
  • Perangkat Apple milik target serangan dipaksa menampilkan puluhan prompt level sistem, sehingga perangkat tidak bisa digunakan sampai mereka merespons setiap prompt dengan 'Izinkan' atau 'Jangan Izinkan'.
  • Dengan asumsi pengguna tidak salah menekan tombol secara tidak sengaja, penipu kemudian menelepon sambil menyamar sebagai dukungan Apple dan mengatakan bahwa akun pengguna sedang diserang serta bahwa mereka harus "memverifikasi" kode sekali pakai.

Serangan bom push dan kelelahan MFA

  • Pendiri startup Parth Patel, yang sedang mencoba membangun startup di bidang AI percakapan, mendokumentasikan kampanye phishing terbaru yang menargetkannya di Twitter.
  • Serangan ini dikenal sebagai serangan 'bom push' atau 'kelelahan MFA', yang menyalahgunakan fungsi atau kelemahan sistem multi-factor authentication (MFA) untuk membanjiri perangkat target dengan notifikasi perubahan kata sandi atau persetujuan login.
  • Patel mengatakan semua perangkatnya meledak dengan notifikasi sistem dari Apple yang meminta persetujuan untuk pengaturan ulang kata sandi akun.

Nomor telepon adalah kuncinya

  • Chris, pemilik hedge fund kripto, mengalami upaya phishing serupa, dengan para penyerang terus mengirim notifikasi pengaturan ulang ke perangkatnya selama beberapa hari.
  • Chris menerima telepon yang mengaku dari dukungan Apple, tetapi setelah menelepon Apple yang asli untuk memverifikasi, ia diberi tahu bahwa Apple tidak terlebih dahulu menelepon pelanggan.
  • Chris mengubah kata sandinya dan membeli iPhone baru, lalu membuat akun Apple iCloud baru dengan alamat email baru.

Hati-hati!

  • Ken, seorang veteran industri keamanan, menerima notifikasi sistem tidak sah yang serupa dengan syarat identitasnya dirahasiakan, tetapi tidak menerima telepon palsu dari dukungan Apple.
  • Ken menghubungi dukungan Apple dan pada akhirnya tersambung dengan insinyur senior Apple, dan mendapat jaminan bahwa mengaktifkan recovery key untuk akunnya akan menghentikan notifikasi itu secara permanen.
  • Recovery key adalah fitur keamanan opsional yang meningkatkan keamanan akun, dan ketika diaktifkan, proses pemulihan akun standar Apple akan dinonaktifkan.

Pembatasan laju

  • Apakah sistem autentikasi yang dirancang dengan masuk akal akan mengirim puluhan permintaan perubahan kata sandi dalam hitungan menit bahkan sebelum pengguna sempat merespons permintaan pertama?
  • Apple belum menanggapi permintaan komentar mengenai hal ini.

Apa yang bisa dilakukan?

  • Apple mengharuskan ada nomor telepon pada akun, tetapi setelah akun disiapkan, nomor itu tidak harus berupa nomor seluler.
  • Apple menerima nomor VOIP seperti Google Voice, sehingga mengubah nomor telepon akun ke nomor VOIP bisa menjadi salah satu langkah mitigasi.

Bacaan terkait

1 komentar

 
GN⁺ 2024-03-28
Komentar Hacker News

  • Ringkasan komentar pertama:

    Ada informasi penting yang terlewat di artikel dan komentar teratas: meskipun Anda tidak sengaja mengetuk 'Izinkan', penyerang tetap tidak bisa mengubah kata sandi lewat browser web. Saat Anda mengetuk 'Izinkan', PIN 6 digit akan ditampilkan di perangkat pengguna, dan pengguna dapat mengubah kata sandinya di perangkatnya sendiri. Tahap terakhir serangan adalah penyerang menelepon dengan menyamar sebagai nomor telepon Apple dan meminta pengguna membacakan PIN 6 digit tersebut. Jika pengguna memberi tahu PIN 6 digit itu lewat telepon, penyerang dapat menggunakannya untuk mereset kata sandi pengguna.

  • Ringkasan komentar kedua:

    Masalah ini terjadi pada penulis komentar dan istrinya pada 2021 atau 2022. Awalnya permintaan datang beberapa kali sehari, tetapi seiring waktu mulai datang setiap jam. Untuk memblokir upaya penyerang, penulis komentar mengatur agar kedua akun menggunakan recovery key. Selain itu, mereka memperkuat perlindungan data dan menonaktifkan akses web agar hanya perangkat tepercaya yang bisa mengakses data dan mendaftarkan perangkat baru.

  • Ringkasan komentar ketiga:

    Jika pesan reset kata sandi memungkinkan reset kata sandi dari perangkat lain, desainnya sangat buruk. Pesannya secara eksplisit menyatakan 'gunakan iPhone ini untuk mereset', sehingga diasumsikan bahwa orang yang mengeklik 'Izinkan' akan menetapkan kata sandi baru di perangkat yang sama.

  • Ringkasan komentar keempat:

    Ada pertanyaan apakah kemampuan untuk memicu prompt seperti ini di perangkat Apple itu sendiri bukan masalahnya—atau prompt seperti pengaturan perangkat baru berbasis Bluetooth yang muncul di berita tahun lalu. Fitur untuk mereset kata sandi memang diperlukan, tetapi menurut artikel, seseorang bisa mengirim 30 permintaan reset kata sandi dalam waktu singkat. Mengapa itu dianggap bukan tindakan jahat?

  • Ringkasan komentar kelima:

    Suatu kali, saya menerima panggilan yang tampak berasal dari pusat dukungan Apple. Ini terjadi dua hari setelah saya memesan MacBook baru dari Apple Store online. Karena sedang menunggu pengiriman, saya hampir mengangkatnya, tetapi malah menelepon langsung pusat dukungan Apple untuk memastikan apakah mereka benar-benar menelepon. Jawabannya, tidak.

  • Ringkasan komentar keenam:

    Saya penasaran berapa lama lagi sampai salah satu tujuan lain dari panggilan seperti ini adalah mengumpulkan cukup banyak suara pengguna untuk menirunya secara meyakinkan.

  • Ringkasan komentar ketujuh:

    Saya bingung apa sebenarnya yang terjadi setelah menekan 'Izinkan'. Saya ingin tahu apakah Apple menyediakan formulir reset kata sandi di situs iForgot, atau apakah itu hanya ditampilkan di perangkat.

  • Ringkasan komentar kedelapan:

    Masalah ini terjadi sekitar dua tahun lalu. Saat permintaan reset kata sandi membanjiri iCloud, menerima panggilan yang menyamar seolah-olah berasal dari Apple Care terasa menegangkan. Penyerang sangat mahir menjawab pertanyaan terkait Apple. Data akun penulis komentar kemungkinan bocor dalam peretasan besar Ledger, dan para penyerang menargetkan pemilik aset kripto. Pada saat itu, keamanan iCloud sangat lemah.

  • Ringkasan komentar kesembilan:

    Saya membenci Push MFA sejak pertama kali diperkenalkan. Memasukkan kode sebenarnya tidak sulit, tetapi pada akhirnya malah berubah menjadi notifikasi push yang meminta kode untuk melawan push bombing.

  • Ringkasan komentar kesepuluh:

    Sejak beberapa hari lalu, saya menerima email setiap beberapa jam dari akun LinkedIn saya yang berisi magic login link. Email-email itu tampak dikirim dari berbagai lokasi di seluruh dunia dan terlihat asli.