Récentes attaques de « MFA Bombing » visant les utilisateurs d’Apple

 (krebsonsecurity.com)
1 points par GN⁺ 2024-03-28 | 1 commentaires | Partager sur WhatsApp

Attaque de phishing sophistiquée visant les clients d’Apple

  • Récemment, des clients d’Apple ont été la cible d’une attaque de phishing sophistiquée qui ressemble à un bug dans la fonction de réinitialisation de mot de passe d’Apple.
  • Les appareils Apple des cibles sont forcés d’afficher des dizaines d’invites au niveau système, rendant l’appareil inutilisable jusqu’à ce qu’une réponse soit donnée à chaque invite par « Autoriser » ou « Ne pas autoriser ».
  • En supposant que l’utilisateur n’appuie pas par erreur sur le mauvais bouton, les escrocs appellent ensuite en se faisant passer pour l’assistance Apple et disent que le compte de l’utilisateur est attaqué et qu’un code à usage unique doit être « vérifié ».

Attaques par bombardement de push et fatigue MFA

  • Parth Patel, entrepreneur qui tente de créer une startup dans le domaine de l’IA conversationnelle, a documenté sur Twitter une récente campagne de phishing le visant.
  • Cette attaque est connue sous le nom de « push bombing » ou d’attaque par « MFA fatigue » ; elle abuse des fonctions ou des faiblesses des systèmes d’authentification multifacteur (MFA) pour inonder l’appareil de la cible de notifications de changement de mot de passe ou d’approbation de connexion.
  • Patel a déclaré que tous ses appareils avaient explosé de notifications système d’Apple demandant l’approbation d’une réinitialisation du mot de passe du compte.

Le numéro de téléphone est la clé

  • Chris, propriétaire d’un hedge fund crypto, a subi une tentative de phishing similaire, les attaquants continuant à envoyer des notifications de réinitialisation à ses appareils pendant plusieurs jours.
  • Chris a reçu un appel se faisant passer pour l’assistance Apple, mais après avoir appelé la vraie assistance Apple pour vérifier, il a appris qu’Apple n’appelle pas les clients en premier.
  • Chris a changé son mot de passe, acheté un nouvel iPhone, puis créé un nouveau compte Apple iCloud avec une nouvelle adresse e-mail.

Soyez prudent !

  • Ken, vétéran du secteur de la sécurité, a lui aussi reçu des notifications système non autorisées similaires sous couvert d’anonymat, mais n’a pas reçu de faux appel de l’assistance Apple.
  • Ken a contacté l’assistance Apple et a finalement été mis en relation avec un ingénieur Apple senior, qui lui a assuré que l’activation d’une clé de récupération sur le compte mettrait définitivement fin aux notifications.
  • La clé de récupération est une fonctionnalité de sécurité optionnelle qui améliore la sécurité du compte ; lorsqu’elle est activée, le processus standard de récupération de compte d’Apple est désactivé.

Limitation du débit

  • Un système d’authentification conçu de manière raisonnable enverrait-il des dizaines de demandes de changement de mot de passe en quelques minutes avant même que l’utilisateur ait pu répondre à la première ?
  • Apple n’a pas encore répondu à la demande de commentaire à ce sujet.

Que peut-on faire ?

  • Apple exige qu’un numéro de téléphone soit associé au compte, mais une fois le compte configuré, il n’est pas nécessaire qu’il s’agisse d’un numéro mobile.
  • Apple accepte les numéros VOIP comme Google Voice ; changer le numéro de téléphone du compte pour un numéro VOIP peut donc constituer une mesure d’atténuation.

À lire aussi

1 commentaires

 
GN⁺ 2024-03-28
Avis Hacker News

  • Résumé du premier commentaire :

    Il manque une information importante dans l’article et les commentaires les mieux classés : même si l’on appuie accidentellement sur « Autoriser », cela ne permet pas à l’attaquant de modifier le mot de passe depuis un navigateur web. En appuyant sur « Autoriser », un code PIN à 6 chiffres s’affiche sur l’appareil de l’utilisateur, qui peut alors modifier son mot de passe depuis son propre appareil. La dernière étape de l’attaque consiste à ce que l’attaquant appelle en se faisant passer pour Apple et demande à l’utilisateur de lui lire le code PIN à 6 chiffres. Si l’utilisateur communique ce code par téléphone, l’attaquant peut l’utiliser pour réinitialiser son mot de passe.

  • Résumé du deuxième commentaire :

    Ce problème est arrivé au commentateur et à sa femme en 2021 ou 2022. Au début, ils recevaient quelques demandes par jour, puis avec le temps, les demandes ont commencé à arriver toutes les heures. Pour bloquer les tentatives de l’attaquant, le commentateur a configuré une clé de récupération sur les deux comptes. Il a aussi renforcé la protection des données et désactivé l’accès web afin que seuls les appareils de confiance puissent accéder aux données et enregistrer de nouveaux appareils.

  • Résumé du troisième commentaire :

    Si le message de réinitialisation du mot de passe permettait effectivement d’autoriser une réinitialisation depuis un autre appareil, ce serait une conception vraiment médiocre. Le message indique explicitement « Utiliser cet iPhone pour réinitialiser », ce qui laisse supposer que la personne qui clique sur « Autoriser » définira le nouveau mot de passe sur ce même appareil.

  • Résumé du quatrième commentaire :

    Il se demande si le vrai problème n’est pas la possibilité même de déclencher ces invites sur un appareil Apple (ou celles du même genre pour configurer un nouvel appareil via Bluetooth, vues dans l’actualité l’an dernier). Une fonction de réinitialisation du mot de passe est nécessaire, mais selon l’article, il est possible d’envoyer 30 demandes de réinitialisation en peu de temps. Qu’est-ce qui peut rendre cela non malveillant ?

  • Résumé du cinquième commentaire :

    Une fois, il a reçu un appel qui s’affichait comme provenant de l’assistance Apple. Cela s’est produit deux jours après avoir commandé un nouveau MacBook sur l’Apple Store en ligne. Comme il attendait la livraison, il a failli répondre, mais a préféré appeler directement l’assistance Apple pour vérifier si l’appel venait bien d’eux. Ils lui ont répondu que non.

  • Résumé du sixième commentaire :

    Il se demande dans combien de temps l’un des autres objectifs de ces appels sera de collecter suffisamment d’échantillons de la voix de l’utilisateur pour en faire une copie convaincante.

  • Résumé du septième commentaire :

    Il ne comprend pas bien ce qui se passe exactement après avoir cliqué sur « Autoriser ». Il se demande si Apple fournit un formulaire de réinitialisation du mot de passe sur le site iForgot, ou si cela n’apparaît que sur l’appareil.

  • Résumé du huitième commentaire :

    Il a subi ce problème il y a environ deux ans. Quand les demandes de réinitialisation du mot de passe sur iCloud arrivent en rafale et qu’on reçoit un appel se faisant passer pour Apple Care, c’est déstabilisant. L’attaquant répondait avec aisance aux questions liées à Apple. Les données du compte du commentateur ont peut-être fuité lors du grand piratage de Ledger, et les attaquants visaient les détenteurs de cryptomonnaies. À l’époque, la sécurité d’iCloud était très faible.

  • Résumé du neuvième commentaire :

    Il déteste le Push MFA depuis son introduction. Saisir un code n’a rien de vraiment difficile, et au final on se retrouve avec des notifications push qui demandent quand même un code pour se défendre contre le push bombing.

  • Résumé du dixième commentaire :

    Depuis quelques jours, il reçoit toutes les quelques heures des e-mails pour son compte LinkedIn contenant des liens de connexion magique. Les e-mails semblent provenir de différents endroits dans le monde et paraissent authentiques.