Yakında bu durumla alakalı haber yapmıştık. Apple kullanıcıları, “MFA Bombing” adı verilen ve kullanıcıların sabırsızlığına ve Apple’ın parola sıfırlama mekanizmasındaki bir hataya dayanan yeni bir kimlik avı saldırısı dalgasının hedefi haline geliyor.
Kimlik avı saldırıları genellikle kullanıcıların bir saldırgana bilgi vermesine ya da genellikle bir e-posta, kısa mesaj ya da diğer mesajlaşma araçları yoluyla hesaplarında bir şey yapmalarına izin vermesine dayanır.
Yakın zamanda keşfedilen bir kimlik avı saldırısı, Apple’ın parola sıfırlama sistemini kullanarak kurbanlarını kandırmak için yeni bir yol kullanıyor.
Krebs on Security tarafından detaylandırılan ve “MFA Bombing”, “MFA Fatigue” ya da “Push Bombing” olarak adlandırılan saldırı, parola sıfırlama özelliğindeki bir hata etrafında dönüyor gibi görünen ayrıntılı bir kimlik avı saldırısıdır. Mağdurlar, “Apple ID parolanızı sıfırlamak için bu iPhone’u kullanın” metnini ve isteğe izin verme ya da reddetme seçeneklerini içeren “Parolayı Sıfırla” bildirimleriyle dolup taşıyor.
Bu bildirim gerçek sistemlerden gelen bir bildirim.
Genellikle kullanıcıya, iPhone, Mac, iPad veya Apple Watch’ta çok faktörlü kimlik doğrulamanın bir biçimi olarak Apple Kimliği parolasını sıfırlamaya çalıştığında bir kez gösterilir.
Saldırıyla ilgili sorun, saldırganın hedefi çok sayıda bildirimle bombardımana tutmasıdır. Kullanıcının ya yanlışlıkla İzin Verme yerine İzin Ver’i seçeceği ya da bildirim yağmurundan rahatsız olup durdurmak için İzin Ver’i seçeceği umulmaktadır.
Bu örnekte, İzin Ver’in seçilmesi saldırganın Apple Kimliği parolasını sıfırlamasına ve hesaba erişim sağlamasına izin verecektir.
Saldırı nasıl gerçekleşiyor sistem nasıl işliyor?
Çok sayıda bildirim saldırganlar için işe yaramazsa, hedefin telefon numarasını biliyorlarsa ikinci bir aşama gerçekleştiriliyor.
Kurban, saldırganlar tarafından Apple Destek kılığında aranıyor ve arayan telefon numarası Apple’ın gerçek müşteri destek numarasını gösterecek şekilde taklit ediyor.
Hata gibi görünen olağandışı sayıda bildirimin ardından, dikkatsiz bir kurban arayanın gerçekten Apple’dan olduğuna inanabiliyorsunuz.
Daha sonra kurbanlardan bilgilerini doğrulamaları isteniyor ve saldırgan daha inandırıcı olmak için kimlik bilgilerini sunan web siteleri gibi veri kaynaklarını kullanarak diğer hesap bilgilerini “doğruluyor“.
Kurban arayanın Apple Destek olduğuna inandığında, saldırgan kurbana bir Apple Kimliği sıfırlama kodu gönderilmesini tetikleyerek “destek temsilcisine” tek seferlik parolayı açıklamasını istiyor. Bu da saldırganın hesap parolasını sıfırlamasını ve kullanıcıyı dışarıda bırakmasını sağlıyor.
Bu durum için kolaylıkla önlem almanız çok zor
Durum nasıl farkledildi ?
Birden fazla gün boyunca bildirimlerden etkilenen ve bir saldırgana ne kadar kolay erişim izni verebilecekleri konusunda endişe duyan bir Apple kullanıcısı, sorunlar hakkında gerçek Apple Destek ile iletişime geçti ve üst düzey bir Apple mühendisine yönlendirildi.
Mühendis, bir Apple Kurtarma Anahtarının etkinleştirilmesinin bir saldırganın standart hesap kurtarma sürecini kullanmasını engelleyeceğini bildirdi. Bu, hesap kurtarma işlemleri için kullanılacak 28 karakterlik bir kodun oluşturulmasını gerektiriyordu.
Ancak, hesaplarında etkinleştirilmiş olmasına rağmen, parola sıfırlama bildirimleri akmaya devam etti.
Apple, Krebs’in konuyla ilgili yorum taleplerine yanıt vermedi.
Apple’ın parola kurtarma sistemindeki olası bildirim hatasından gerçekten haberdar olup olmadığı bilinmiyor. Ancak daha önce de benzer bir bildirim sorunuyla uğraşmıştı.
2019 yılında, “AirDoS” adı verilen bir açık, bir saldırganın yakındaki iOS cihazlarına AirDrop aracılığıyla bir dosya paylaşma istemiyle sürekli spam göndermesine izin verdi. Sorun, keşfedilmesinden dört ay sonra iOS 13.3’te düzeltildi ve Apple, AirDrop isteklerine daha sıkı oran sınırlaması ekledi.
Kendinizi MFA Bombardımanından nasıl korursunuz?
Böyle bir saldırıyla karşı karşıya kalan Apple kullanıcılarının saldırıyı önlemek için birkaç yol var. Ancak şu anda bildirimlerin gelmesi engellenemiyor.
Mağdurların dikkatli olmaları ve her göründüğünde “İzin Verme” seçeneğini seçmeleri gerekiyor.
Saldırganlar kodu almak için ararlarsa, en iyi uygulama, resmi Apple destek numarası aracılığıyla onları geri arayacağınızı söylemeniz gerekiyor.
Apple ayrıca doğrulama biçimi olarak telefonda müşteri bilgilerini vermiyor, bu da arayanın gerçek olmadığının bir başka göstergesi.
Apple Kurtarma Anahtarını etkinleştirmek, hesap parolası sıfırlamanın bir saldırgan tarafından gerçekleştirilememesini sağlamaya yardımcı olacak daha mantıklı bir seçenek.
Gelecekte bu işlemi kendiniz gerçekleştirebilmeniz için uzun bir parolaya sahip olmanızı gerektiriyor – ve bildiriminde de belirtildiği gibi, kod talep üzerine bile olsa kimseye verilmemesi gerekiyor.
İlk yorum yapan siz olun