Bir sırasında ne olur? saldırı
- Olan şu ki, hedef cihazlar, kullanıcı bu istemlerde İzin Ver veya İzin Verme seçeneğini seçene kadar hedef cihazın çalışmasını durduran düzinelerce sistem düzeyinde istem (temelde Apple’ın Parolamı Unuttum özelliği tarafından gönderilen MFA uyarıları) göstermeye zorlanır.
- Hedef tüm bu isteklere izin vermediğinde, Apple Destek’e benzeyen bir numaradan bir telefon çağrısı alacak ve kullanıcının saldırı altında olduğu ve tek seferlik bir kodu doğrulaması gerektiği konusunda uyarılacak.
- Saldırının amacı, hedef cihaza bir Apple ID sıfırlama kodunun gönderilmesini tetiklemek ve daha sonra kullanıcının bu kodu telefon üzerinden paylaşmasını sağlamaktır.
- Eğer böyle bir kod alırsanız, kodun yanında size bu kodu başkalarıyla paylaşmamanız konusunda bir uyarı gönderileceğini göreceksiniz.
- Ancak saldırganların ikna edici görünmek için bu kadar çok çalışmasının nedeni budur; çünkü hedef kodu verirse saldırgan, kullanıcının Apple kimliğini hemen ele geçirecek ve kullanıcıyı kilitleyecektir.
- Daha sonra tüm Apple ID korumalı verilerinize ve hizmetlerinize erişebilirler ve tüm Apple cihazlarınızı uzaktan silebilirler.
Bunlar karmaşık saldırılar
Bu saldırının doğasını anlamak açısından kritik öneme sahip olan şey, eğer onun tarafından hedef alınıyorsanız muhtemelen zaten bir saldırı hedefi olarak seçilmiş olduğunuzu bilmektir. Bunlar nispeten organize girişimlerdir ve saldırının arkasında kim varsa zaten kurban hakkında bazı ayrıntılar araştırıldı.
Bunun nedeni, Apple Kimliğinizle ilişkili e-posta adresine ve telefon numarasına sahip olmaları gerektiğidir. Bu ayrıntılar, veri komisyoncularından ve PeopleDataLabs gibi kişi arama web sitelerinden gelebilir. KrebsOnSecurity önerdi bu haftanın başlarında.
Saldırganların, hedefi sıfırlama kodunu paylaşmaya ikna edecekleri çok önemli telefon görüşmesinde gerçek gibi görünmesi için hedef hakkında kaynak bilgi sahibi olmaları gerekir. Başka bir deyişle bunlar, bilgisayar korsanlarının büyük miktarda kişisel veri topladığı son derece taktiksel, planlı saldırılardır.
Jamf Portföy Stratejisi Başkan Yardımcısı Michael Covington bunu şu şekilde ifade ediyor: “MFA bombalaması, hedeflenen herhangi bir kullanıcı için bir zorluk teşkil ediyor, çünkü tek bir hata yapıldığında daha fazla mağdur edilme korkusuyla bir bildirim yağmurunu gözden geçirmek zorunda kalıyorlar.
“Ancak anlamadıkları şey, bu saldırıdan önce genellikle kullanıcının kimlik bilgilerinin başarılı bir şekilde ele geçirilmesinin ardından gerçekleştiği ve böylece bir bilgisayar korsanının oturum açma sürecini başlatmasına olanak sağladığıdır.”
Jamf yakın zamanda Apple kullanan birçok işletmenin bu tür girişimler için hala zayıf hedefler olduğu konusunda uyardı.