हाल की 'MFA Bombing' हमले Apple उपयोगकर्ताओं को निशाना बना रहे हैं

 (krebsonsecurity.com)
1 पॉइंट द्वारा GN⁺ 2024-03-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Apple ग्राहकों को निशाना बनाने वाला परिष्कृत phishing हमला

  • हाल ही में Apple ग्राहक एक परिष्कृत phishing हमले का लक्ष्य बने हैं, जो Apple की password reset सुविधा में किसी bug जैसा दिखाई देता है।
  • लक्षित व्यक्ति के Apple devices को दर्जनों system-level prompts दिखाने के लिए मजबूर किया जाता है, जिससे हर prompt पर 'Allow' या 'Don't Allow' का जवाब देने तक device का उपयोग असंभव हो जाता है।
  • यदि उपयोगकर्ता गलती से गलत button नहीं दबाता, तो ठग Apple Support का रूप धरकर फोन करते हैं और कहते हैं कि उपयोगकर्ता का account हमले के अधीन है तथा एक one-time code को "verify" करना होगा।

Push bombing हमला और MFA fatigue

  • उद्यमी Parth Patel, जो conversational AI क्षेत्र में एक startup बनाने की कोशिश कर रहे हैं, ने अपने खिलाफ हुए हालिया phishing campaign को Twitter पर दर्ज किया।
  • इस हमले को 'push bombing' या 'MFA fatigue' हमला कहा जाता है, जिसमें multi-factor authentication (MFA) सिस्टम की कार्यप्रणाली या कमजोरियों का दुरुपयोग करके लक्ष्य के device पर password change या login approval notifications की बाढ़ ला दी जाती है।
  • Patel ने कहा कि उनके सभी devices Apple की ओर से account password reset approval मांगने वाली system notifications से भर गए थे।

फोन नंबर है मुख्य

  • crypto hedge fund मालिक Chris ने भी इसी तरह की phishing कोशिश का अनुभव किया, जिसमें हमलावरों ने कई दिनों तक उनके devices पर reset notifications भेजते रहे।
  • Chris को Apple Support का रूप धरकर एक कॉल आई, लेकिन असली Apple को फोन करके पुष्टि करने पर पता चला कि Apple ग्राहकों को पहले फोन नहीं करता।
  • Chris ने password बदलने और नया iPhone खरीदने के बाद, नए email address के साथ एक नया Apple iCloud account बनाया।

सावधान रहें!

  • security industry के अनुभवी Ken ने, गुमनाम रहने की शर्त पर, इसी तरह की unauthorized system notifications मिलने की बात कही, लेकिन उन्हें नकली Apple Support कॉल नहीं मिली।
  • Ken ने Apple Support से संपर्क किया और अंततः एक वरिष्ठ Apple engineer से जुड़े, जिन्होंने आश्वासन दिया कि account पर recovery key सक्रिय करने से notifications स्थायी रूप से बंद हो जाएंगी।
  • recovery key account की सुरक्षा बेहतर बनाने वाला एक optional security feature है, और इसे सक्रिय करने पर Apple की standard account recovery process निष्क्रिय हो जाती है।

Rate limiting

  • क्या एक तर्कसंगत रूप से डिज़ाइन किया गया authentication system, उपयोगकर्ता के पहले अनुरोध का जवाब देने से पहले ही कुछ मिनटों में password change के दर्जनों अनुरोध भेजेगा?
  • Apple ने अभी तक इस पर टिप्पणी के अनुरोध का जवाब नहीं दिया है।

क्या किया जा सकता है?

  • Apple के लिए account में एक phone number होना ज़रूरी है, लेकिन account सेट करने के बाद यह आवश्यक नहीं कि वह mobile number ही हो।
  • Apple, Google Voice जैसे VOIP numbers स्वीकार करता है, इसलिए account के phone number को VOIP number में बदलना एक mitigation हो सकता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-03-28
Hacker News टिप्पणियाँ

  • पहली टिप्पणी का सार:

    लेख और शीर्ष टिप्पणियों में एक महत्वपूर्ण जानकारी छूट गई है: अगर कोई गलती से 'अनुमति दें' पर टैप भी कर दे, तब भी हमलावर वेब ब्राउज़र से पासवर्ड नहीं बदल सकता। 'अनुमति दें' पर टैप करने के बाद उपयोगकर्ता की डिवाइस पर 6-अंकों का PIN दिखता है, और उपयोगकर्ता अपनी ही डिवाइस से पासवर्ड बदल सकता है। हमले का आख़िरी चरण यह है कि हमलावर Apple के फ़ोन नंबर का रूप धरकर कॉल करता है और उपयोगकर्ता से वह 6-अंकों का PIN पढ़कर बताने को कहता है। अगर उपयोगकर्ता फ़ोन पर वह 6-अंकों का PIN हमलावर को बता दे, तो हमलावर उसी PIN का उपयोग करके उपयोगकर्ता का पासवर्ड रीसेट कर सकता है.

  • दूसरी टिप्पणी का सार:

    यह समस्या 2021 या 2022 में टिप्पणी लिखने वाले और उनकी पत्नी के साथ हुई थी। शुरुआत में दिन में कुछ बार अनुरोध आते थे, लेकिन समय के साथ हर घंटे अनुरोध आने लगे। हमलावर के प्रयासों को रोकने के लिए टिप्पणीकार ने दोनों अकाउंट्स पर recovery key सेट की। साथ ही, data protection को मज़बूत किया और web access को disable कर दिया ताकि केवल trusted devices ही data access कर सकें और नई devices register कर सकें.

  • तीसरी टिप्पणी का सार:

    अगर पासवर्ड रीसेट संदेश किसी दूसरी डिवाइस पर पासवर्ड रीसेट की अनुमति देता है, तो उसका डिज़ाइन बहुत खराब है। संदेश में साफ़ लिखा है, 'इस iPhone का उपयोग करके रीसेट करें', इसलिए यह माना जाएगा कि 'अनुमति दें' क्लिक करने वाला व्यक्ति उसी डिवाइस पर नया पासवर्ड सेट करेगा.

  • चौथी टिप्पणी का सार:

    सवाल यह है कि क्या Apple डिवाइस पर ऐसे prompts ट्रिगर कर पाने की क्षमता ही समस्या नहीं है, जैसे पिछले साल ख़बरों में आए Bluetooth-आधारित नई डिवाइस सेटअप prompts। पासवर्ड रीसेट करने की सुविधा ज़रूरी है, लेकिन लेख के मुताबिक़ कम समय में 30 password reset requests भेजी जा सकती हैं। इसमें गैर-दुर्भावनापूर्ण क्या है?

  • पाँचवीं टिप्पणी का सार:

    एक बार उन्हें एक कॉल आई जिस पर दिख रहा था कि वह Apple support center से है। यह ऑनलाइन Apple Store से नया MacBook ऑर्डर करने के दो दिन बाद हुआ। वे डिलीवरी का इंतज़ार कर रहे थे, इसलिए लगभग कॉल उठा ही लेते, लेकिन इसके बजाय उन्होंने सीधे Apple support center को फ़ोन करके पूछा कि क्या उन्होंने कॉल की थी। जवाब मिला कि नहीं.

  • छठी टिप्पणी का सार:

    सोचने वाली बात है कि ऐसी कॉल्स का एक और मक़सद उपयोगकर्ता की आवाज़ के पर्याप्त नमूने इकट्ठा करना भी हो सकता है, ताकि उसे भरोसेमंद तरीके से क्लोन किया जा सके.

  • सातवीं टिप्पणी का सार:

    'अनुमति दें' क्लिक करने के बाद ठीक-ठीक क्या होता है, इसे लेकर भ्रम है। क्या Apple iForgot वेबसाइट पर password reset form देता है, या वह सिर्फ़ डिवाइस पर ही दिखाई देता है?

  • आठवीं टिप्पणी का सार:

    लगभग 2 साल पहले उनके साथ यह हुआ था। जब iCloud से password reset requests की बाढ़ आ रही हो और उसी समय Apple Care से होने का दावा करने वाली कॉल आ जाए, तो घबराहट होना स्वाभाविक है। हमलावर Apple से जुड़े सवालों के जवाब बहुत आत्मविश्वास से दे रहा था। संभव है कि टिप्पणीकार का account data बड़े Ledger hack में लीक हुआ हो, और हमलावर crypto currency रखने वालों को निशाना बना रहे हों। उस समय iCloud security बहुत कमज़ोर थी.

  • नौवीं टिप्पणी का सार:

    Push MFA आने के बाद से ही उन्हें यह पसंद नहीं है। code टाइप करना कोई इतना कठिन काम नहीं, लेकिन अंत में स्थिति यह हो जाती है कि push bombing से बचाव के लिए code माँगने वाली push notification ही भेजनी पड़ती है.

  • दसवीं टिप्पणी का सार:

    पिछले कुछ दिनों से उन्हें अपने LinkedIn account के लिए हर कुछ घंटों में magic login link वाले emails मिल रहे हैं। emails दुनिया के अलग-अलग स्थानों से भेजे गए लगते हैं और असली प्रतीत होते हैं.