Site icon TechInside

Apple kullanıcıları “MFA Bombalamaları” saldırısı altında!

Bu senaryoda, hedefin Apple aygıtları, alıcı her istem için “İzin Ver” veya “İzin Verme” yanıtını verene kadar aygıtların kullanılmasını önleyen düzinelerce sistem düzeyinde istem görüntülemeye zorlanıyor.

Kullanıcının sayısız parola sıfırlama isteğinde yanlış düğmeye basmamayı başardığını varsayarsak, dolandırıcılar daha sonra kurbanı arayacak ve arayan kimliğinde Apple desteğini taklit ederek kullanıcının hesabının saldırı altında olduğunu ve Apple tarafından gönderilen tek seferlik kodun “doğrulaması gerektiğini” söyleyecektir.

Parth Patel, konuşmaya dayalı yapay zeka alanında startup kurmaya çalışan bir girişimci. 23 Mart’ta Patel, Twitter/X’te kendisini hedef alan, “push bombing” veyaMFA yorgunluğu” saldırısı olarak bilinen, kimlik avcılarının çok faktörlü kimlik doğrulamanın (MFA) bir özelliğini veya zayıflığını kötüye kullandığı yeni bir kimlik avı kampanyasını belgeledi.

Patel, KrebsOnSecurity’ye “Saatim, dizüstü bilgisayarım ve telefonum dahil tüm cihazlarım patlamaya başladı.” dedi.

Böyle bir tufanla karşı karşıya kalan bazı kişiler, sırf telefonlarını tekrar kullanabilmek için, aralıksız şifre sıfırlama istemlerine karşı sonunda “İzin Ver“e tıklayabilir. Diğerleri, eğer varsa kullanıcının Apple saatinde de görünecek olan bu istemlerden birini yanlışlıkla onaylayabilir.

Ancak bu kampanyadaki saldırganların elinde bir koz vardı: Patel, Apple’ın tüm şifre sıfırlama istemlerini reddettikten sonra iPhone‘una Apple Destek’ten geldiğini söyleyen bir çağrı aldığını söyledi (gösterilen numara 1-800-275’ti, gerçek numara -2273).

Patel, sahte Apple destek temsilcisinden Apple hesabı için kayıtlı olan adı doğrulamasını istediğinde; arayan kişinin kendisine ait olmayan bir ad verdiğini, bunun yerine Patel’in yalnızca kendisi hakkında satışta olan arka plan raporlarında gördüğü bir ad verdiğini söyledi. PeopleDataLabs adında bir kişi arama sitesi.

Patel, bilgilerini birden fazla kişi arama web sitesinden kaldırmak için çok çalıştığını ve PeopleDataLabs’ın bu yanlış adı benzersiz ve tutarlı bir şekilde tüketici profilinde bir takma ad olarak listelediğini bulduğunu söyledi.

Patel, “Bazı nedenlerden dolayı, PeopleDataLabs’ta bilgilerimi aradığınızda karşınıza üç profil çıkıyor ve bunlardan ikisi benim, biri de orta batıdan bir ilkokul öğretmeni.” dedi. “Onlardan adımı doğrulamalarını istedim ve onlar da Anthony dediler.

Patel, sesli kimlik avcılarının amacının kullanıcının cihazına tek kullanımlık şifre içeren bir kısa mesaj olan Apple Kimliği sıfırlama kodunun gönderilmesini tetiklemek olduğunu söyledi. Kullanıcı bu tek seferlik kodu sağlarsa saldırganlar hesabın şifresini sıfırlayabilir ve kullanıcıyı kilitleyebilir. Ayrıca kullanıcının tüm Apple aygıtlarını da uzaktan silebilir.

Telefon numarası anahtardır

Chris, kendisine daha büyük bir hedef çizmemek için yalnızca adının kullanılmasını isteyen bir kripto para hedge fonu sahibi. Chris, KrebsOnSecurity’ye Şubat ayı sonlarında oldukça benzer bir kimlik avı girişimiyle karşılaştığını söyledi.

Chris, “Aldığım ilk uyarıda ‘İzin Verme’ye bastım, ancak hemen ardından arka arkaya 30 kadar bildirim daha aldım.” dedi.

Chris, saldırganların bundan sonraki birkaç gün boyunca cihazlarına sıfırlama bildirimleri göndermeye devam ettiğini ve bir noktada iPhone’undan bunun Apple desteğinden geldiğini söyleyen bir çağrı aldığını söyledi.

Chris, bu tür davetsiz taleplere uygun yanıtı göstererek, “Onları geri arayacağımı söyledim ve telefonu kapattım.” dedi. “Gerçek Apple’ı tekrar aradığımda, o sırada benimle destek görüşmesi yapan birinin olup olmadığını söyleyemediler. Az önce Apple’ın, müşteriyle iletişime geçilmesini talep etmedikçe müşterilere hiçbir zaman dış arama başlatmayacağını açıkça belirttiğini söylediler.”

Birinin dijital hayatını ele geçirmeye çalışmasından büyük korku duyan Chris, şifrelerini değiştirdiğini ve ardından bir Apple mağazasına giderek yeni bir iPhone aldığını söyledi. Oradan yepyeni bir e-posta adresi kullanarak yeni bir Apple iCloud hesabı oluşturdu.

Chris, yerel Apple Genius Bar’da otururken yeni iPhone ve iCloud hesabından daha da fazla sistem uyarısı aldığını söyledi.

Chris, KrebsOnSecurity’ye Genius Bar teknolojisinin uyarıların kaynağı konusunda şaşkına döndüğünü söyledi; ancak Chris, kimlik avcılarının bu Apple sistem uyarılarını hızlı bir şekilde oluşturmak için kötüye kullandıkları her ne ise, hedefin Apple hesabı için kayıtlı telefon numarasını bilmeyi gerektirdiğinden şüphelendiğini söyledi.

Sonuçta Chris’in yeni iPhone’unda ve iCloud hesabında değişmeyen tek şey buydu.

Ne yapılabilir?

Apple, hesabınızda kayıtlı bir telefon numarasının olmasını gerektiriyor gibi görünüyor, ancak hesabı oluşturduktan sonra bunun bir cep telefonu numarası olması gerekmiyor.

KrebsOnSecurity’nin testleri Apple’ın bir VOIP numarasını (Google Voice gibi) kabul edeceğini gösteriyor. Dolayısıyla, hesap telefon numaranızı yaygın olarak bilinmeyen bir VOIP numarasıyla değiştirmek, bu durumu hafifletebilecek bir çözüm olacaktır.

VOIP numarası fikriyle ilgili bir uyarı: Gerçek bir cep telefonu numarası eklemediğiniz sürece, Apple’ın iMessage ve Facetime uygulamaları bu cihaz için devre dışı bırakılacaktır. Bu uygulamalardaki zero-click günleri casus yazılım tedarikçileri tarafından defalarca kullanıldığından; bu, Apple cihazlarının genel saldırı yüzeyini azaltmakla ilgilenenler için bir avantaj olabilir.

Ayrıca Apple’ın şifre sıfırlama sisteminin e-posta takma adlarını kabul edeceği ve bunlara saygı göstereceği anlaşılıyor. E-posta adresinizin kullanıcı adı kısmından sonra bir “+” karakteri ve ardından kaydolduğunuz siteye özel bir not eklemek, aynı hesaba bağlı sonsuz sayıda benzersiz e-posta adresi oluşturmanıza olanak tanıyor.

Mesela example.com üzerinden kayıt olsaydım e-posta adresimi krebsonsecurity+example@gmail.com olarak verebilirdim. Daha sonra, gelen kutuma geri dönüyorum ve “example” adında karşılık gelen bir klasör ve bu takma ada gönderilen tüm e-postaları Example klasörüne gönderen yeni bir filtre oluşturuyorum. Ancak bu durumda belki de “+apple”dan daha az belirgin bir takma ad tavsiye edilebilir.

Exit mobile version