In letzter Zeit haben mehrere Apple-Kunden gemeldet, dass sie das Ziel aufwändiger Phishing-Angriffe wurden, die anscheinend auf einen Fehler in Apples Passwort-Zurücksetzen-Funktion zurückzuführen sind. In diesem Szenario werden die Apple-Geräte eines Ziels gezwungen, Dutzende von Systembenachrichtigungen anzuzeigen, die das Gerät unbenutzbar machen, bis der Empfänger auf jede Benachrichtigung mit „Zulassen“ oder „Nicht zulassen“ reagiert. Angenommen, der Benutzer schafft es, nicht versehentlich den falschen Knopf bei der x-ten Passwortzurücksetzungsanfrage zu drücken, werden die Betrüger den Empfänger anrufen und dabei die Apple-Supportnummer in der Anruferkennung fälschen. Sie behaupten dann, dass das Konto des Benutzers angegriffen wird und dass der Apple-Support einen einmaligen Code „verifizieren“ muss.

Parth Patel, ein Unternehmer, der versucht, ein Start-up im Bereich Conversational AI aufzubauen, dokumentierte am 23. März auf Twitter/X eine kürzlich durchgeführte Phishing-Kampagne, die als „Push-Bombing“ oder „MFA-Fatigue“-Angriff bekannt ist, bei dem die Angreifer eine Funktion oder Schwäche eines Multi-Faktor-Authentifizierungssystems (MFA) ausnutzen, um das Gerät(e) des Ziels mit Genehmigungsanforderungen für eine Passwortänderung oder Anmeldung zu überfluten.

„All meine Geräte begannen zu explodieren, meine Uhr, mein Laptop und mein Telefon“, sagte Patel gegenüber KrebsOnSecurity. „Es war wie diese Systembenachrichtigung von Apple zur Genehmigung [einer Zurücksetzung des Kontopassworts], aber ich konnte nichts anderes mit meinem Telefon machen. Ich musste durchgehen und mehr als 100 Benachrichtigungen ablehnen.“

Einige Personen, die mit einer solchen Flut konfrontiert sind, klicken möglicherweise irgendwann auf „Zulassen“, um den ständigen Aufforderungen zur Passwortzurücksetzung ein Ende zu setzen, nur um ihr Telefon wieder verwenden zu können. Andere könnten versehentlich einer dieser Aufforderungen zustimmen, die auch auf einer Apple Watch eines Benutzers erscheinen, wenn er eine besitzt.

Aber die Angreifer in dieser Kampagne hatten ein Ass im Ärmel: Patel sagte, nachdem er alle Passwortzurücksetzungsaufforderungen von Apple abgelehnt hatte, erhielt er einen Anruf auf seinem iPhone, der angab, vom Apple-Support zu stammen (die angezeigte Nummer war 1-800-275-2273, die echte Kundensupport-Nummer von Apple).

„Ich nahm den Anruf entgegen und war sehr misstrauisch“, erinnerte sich Patel. „Also habe ich sie gebeten, einige Informationen über mich zu bestätigen, und nachdem ich einige aggressive Tippgeräusche auf seiner Seite gehört hatte, gab er mir all diese Informationen über mich und sie waren vollkommen korrekt.“

Alles davon, abgesehen von seinem wirklichen Namen. Patel sagte, als er den falschen Apple-Support-Mitarbeiter bat, den Namen zu bestätigen, den sie für das Apple-Konto hinterlegt hatten, gab der Anrufer einen Namen an, der nicht seiner war, sondern den Patel nur in Hintergrundberichten über ihn gesehen hat, die auf einer Personensuchwebsite namens PeopleDataLabs zum Verkauf angeboten werden.

„Aus irgendeinem Grund hat PeopleDataLabs drei Profile, die auftauchen, wenn Sie nach meinen Informationen suchen, und zwei davon gehören mir, aber eines ist ein Grundschullehrer aus dem Mittleren Westen“, sagte Patel. „Ich habe sie gebeten, meinen Namen zu bestätigen, und sie haben Anthony gesagt.“

Patel sagte, das Ziel der Telefon-Phisher sei es, einen Apple-ID-Zurücksetzungscode auszulösen, der an das Gerät des Benutzers gesendet wird, was eine SMS mit einem einmaligen Passwort enthält. Wenn der Benutzer diesen Einmalcode angibt, können die Angreifer das Passwort des Kontos zurücksetzen und den Benutzer aussperren. Sie können auch alle Apple-Geräte des Benutzers remote löschen.

DIE TELEFONNUMMER IST DER SCHLÜSSEL

Chris ist Inhaber eines Kryptowährungs-Hedgefonds, der darum bat, nur sein Vorname verwendet zu werden, um sich nicht noch mehr ins Visier zu nehmen. Chris sagte KrebsOnSecurity, dass er Ende Februar einen bemerkenswert ähnlichen Phishing-Versuch erlebt habe.

„Die erste Benachrichtigung, die ich bekam, habe ich auf ‚Nicht zulassen‘ geklickt, aber direkt danach habe ich wie 30 weitere Benachrichtigungen hintereinander bekommen“, sagte Chris. „Ich dachte mir, vielleicht habe ich mein Telefon komisch gehalten oder aus Versehen irgendeine Taste gedrückt, die diese auslöst, und habe sie deshalb einfach alle abgelehnt.“

Chris sagt, die Angreifer hätten seine Geräte auch mehrere Tage lang weiterhin mit den Zurücksetzungsnachrichten bombardiert, und zu einem Zeitpunkt habe er einen Anruf auf seinem iPhone erhalten, der angab, vom Apple-Support zu stammen.

„Ich sagte, ich würde zurückrufen und legte auf“, sagte Chris und zeigte die richtige Reaktion auf solche unaufgeforderten Angebote. „Als ich beim echten Apple anrief, konnten sie nicht sagen, ob gerade jemand mit mir in einem Support-Gespräch war. Sie sagten nur, dass Apple sehr deutlich erklärt, dass es niemals unaufgeforderte Anrufe bei Kunden tätigt – es sei denn, der Kunde fordert eine Kontaktaufnahme an.“

In massiver Panik darüber, dass jemand versuchte, sein digitales Leben zu übernehmen, sagte Chris, er habe seine Passwörter geändert und sei dann zu einem Apple Store gegangen und habe ein neues iPhone gekauft. Von dort aus erstellte er ein neues Apple iCloud-Konto mit einer brandneuen E-Mail-Adresse.

Chris sagte, dass er dann auf seinem neuen iPhone und iCloud-Konto noch mehr Systembenachrichtigungen erhalten habe – und das alles, während er immer noch in der örtlichen Apple Genius Bar saß.

Chris sagte KrebsOnSecurity, dass sein Genius-Bar-Techniker über die Quelle der Benachrichtigungen ratlos war, aber Chris sagte, er vermutet, dass die Phisher etwas missbrauchen, um diese Apple-Systembenachrichtigungen schnell zu generieren, was es erfordert, die Telefonnummer im Datei des Apple-Kontos des Ziels zu kennen. Immerhin war das der einzige Aspekt von Chris‘ neuem iPhone und iCloud-Konto, der sich nicht geändert hatte.

PASSEN SIE AUF!

„Ken“ ist ein Branchenveteran im Bereich Sicherheit, der unter der Bedingung der Anonymität sprach. Ken sagte, er habe Anfang dieses Jahres zum ersten Mal diese unerwünschten Systembenachrichtigungen auf seinen Apple-Geräten erhalten, aber nicht die gefälschten Apple-Support-Anrufe, von denen andere berichtet haben.

„Das ist mir vor Kurzem um 0:30 Uhr nachts passiert“, sagte Ken. „Und obwohl ich meine Apple Watch so eingestellt habe, dass sie während der Zeit, in der ich normalerweise schlafe, ruhig bleibt, hat sie mich mit einer dieser Benachrichtigungen geweckt. Gott sei Dank habe ich nicht auf ‚Zulassen‘ gedrückt, was die erste Option war, die auf meiner Uhr angezeigt wurde. Ich musste das Rad drehen, um den Knopf ‚Nicht zulassen‘ zu sehen und zu drücken.“

Ken wusste zu diesem Zeitpunkt nicht (und es ist überhaupt nicht offensichtlich aus den Apple-Benachrichtigungen), aber das Klicken auf „Zulassen“ hätte den Angreifern nicht erlaubt, Kens Passwort zu ändern. Stattdessen zeigt das Klicken auf „Zulassen“ einen sechsstelligen PIN an, der auf Kens Gerät eingegeben werden muss – was Ken ermöglicht, sein Passwort zu ändern. Es scheint, dass diese schnellen Passwort-Zurücksetzungsanfragen verwendet werden, um einen anschließenden eingehenden Anruf zu verschleiern, der Apple vortäuscht, glaubwürdiger zu sein.

Ken sagte, er habe sich an den echten Apple-Support gewandt und sei schließlich an einen leitenden Apple-Ingenieur weitergeleitet worden. Der Ingenieur versicherte Ken, dass das Einschalten eines Apple Recovery Key für sein Konto die Benachrichtigungen endgültig stoppen würde.

Ein Wiederherstellungsschlüssel ist eine optionale Sicherheitsfunktion, die laut Apple dazu dient, „die Sicherheit Ihres Apple-ID-Kontos zu verbessern“. Es handelt sich um einen zufällig generierten 28-stelligen Code, und wenn Sie einen Wiederherstellungsschlüssel aktivieren, soll der Standard-Wiederherstellungsprozess von Apple deaktiviert werden. Die Sache ist die, das Aktivieren ist kein einfacher Prozess, und wenn Sie diesen Code neben all Ihren Apple-Geräten verlieren, werden Sie dauerhaft ausgesperrt sein.

Ken sagte, er habe gemäß den Anweisungen einen Wiederherstellungsschlüssel für sein Konto aktiviert, aber das habe die unaufgeforderten Systembenachrichtigungen nicht gestoppt, die alle paar Tage auf allen seinen Geräten erscheinen.

KrebsOnSecurity hat Kens Erfahrung getestet und kann bestätigen, dass das Aktivieren eines Wiederherstellungsschlüssels nichts daran ändert, dass eine Passwortzurücksetzungsnachricht an die zugehörigen Apple-Geräte gesendet wird. Wenn Sie die Seite „Passwort vergessen“ von Apple – https://iforgot.apple.com – besuchen, werden Sie nach einer E-Mail-Adresse und einer Lösung eines CAPTCHA gefragt.

Danach zeigt die Seite die letzten beiden Ziffern der Telefonnummer an, die mit dem Apple-Konto verknüpft ist. Das Ausfüllen der fehlenden Ziffern und das Anklicken von „Senden“ auf diesem Formular wird eine Systembenachrichtigung senden, unabhängig davon, ob der Benutzer einen Apple Recovery Key aktiviert hat.

BEGRENZUNGEN DER RATE

Welches vernünftig gestaltete Authentifizierungssystem würde Dutzende von Anfragen für eine Passwortänderung in wenigen Augenblicken senden, wenn die ersten Anfragen noch nicht einmal vom Benutzer bearbeitet wurden? Könnte dies das Ergebnis eines Fehlers in den Systemen von Apple sein?

Apple hat bisher nicht auf Anfragen nach Kommentaren geantwortet.

Im Laufe des Jahres 2022 hat eine kriminelle Hackergruppe namens LAPSUS$ MFA-Bomben verwendet, um bei Einbrüchen in Cisco, Microsoft und Uber großen Erfolg zu haben. Als Reaktion darauf begann Microsoft, „MFA-Nummernabgleich“ zu erzwingen, eine Funktion, die eine Reihe von Zahlen anzeigt, die ein Benutzer eingeben muss, um mit seinen Anmeldeinformationen anzumelden. Diese Zahlen müssen dann in die Microsoft Authenticator-App des Benutzers auf seinem mobilen Gerät eingegeben werden, um zu bestätigen, dass er sich in das Konto einloggen möchte.

Kishan Bagaria ist ein Hobby-Sicherheitsforscher und Ingenieur, der die Website texts.com (jetzt im Besitz von Automattic) gegründet hat, und er ist überzeugt, dass Apple ein Problem hat. Im August 2019 meldete Bagaria Apple einen Fehler, den er als „AirDoS“ bezeichnete, weil er dazu verwendet werden konnte, alle nahegelegenen iOS-Geräte unendlich mit einer Systembenachrichtigung zu spammen, um eine Datei über AirDrop zu teilen – eine Dateifreigabefunktion, die in Apple-Produkten integriert ist.

Apple behob diesen Fehler fast vier Monate später im Dezember 2019 und dankte Bagaria im zugehörigen Sicherheitsbulletin. Bagaria sagte, Apples Fix bestand darin, die Rate-Limitierung bei AirDrop-Anfragen zu verschärfen, und er vermutet, dass jemand einen Weg gefunden hat, um die Rate-Limitierung von Apple zu umgehen, wie viele dieser Passwortzurücksetzungsnachrichten innerhalb einer bestimmten Zeitspanne gesendet werden können.

„Ich denke, das könnte ein legitimer Apple-Rate-Limit-Fehler sein, der gemeldet werden sollte“, sagte Bagaria.

WAS KÖNNEN SIE TUN?

Apple scheint eine Telefonnummer für Ihr Konto zu benötigen, aber nachdem Sie das Konto eingerichtet haben, muss es keine Mobiltelefonnummer sein. Tests von KrebsOnSecurity zeigen, dass Apple eine VOIP-Nummer (wie Google Voice) akzeptiert. Eine Möglichkeit zur Abhilfe besteht darin, die Telefonnummer Ihres Kontos in eine VOIP-Nummer zu ändern, die nicht weit verbreitet ist.

Eine Einschränkung der VOIP-Nummer-Idee: Wenn Sie keine echte Mobiltelefonnummer angeben, werden die iMessage- und Facetime-Anwendungen von Apple für dieses Gerät deaktiviert. Dies könnte ein Bonus für diejenigen sein, die besorgt sind, die Gesamtangriffsfläche ihrer Apple-Geräte zu reduzieren, da Zero-Click-Zero-Days in diesen Anwendungen wiederholt von Spyware-Anbietern verwendet wurden.

Außerdem scheint das Passwort-Zurücksetzungssystem von Apple E-Mail-Aliasnamen zu akzeptieren und zu respektieren. Das Hinzufügen eines „+“-Zeichens nach dem Benutzernamen Ihrer E-Mail-Adresse – gefolgt von einer Notiz, die spezifisch für die Website ist, bei der Sie sich anmelden – ermöglicht es Ihnen, eine unendliche Anzahl von eindeutigen E-Mail-Adressen zu erstellen, die mit demselben Konto verknüpft sind.

Wenn ich mich zum Beispiel bei example.com anmelde, könnte ich meine E-Mail-Adresse als krebsonsecurity+example@gmail.com angeben. Dann erstelle ich einfach meinen Posteingang und einen entsprechenden Ordner namens „Beispiel“, zusammen mit einem neuen Filter, der alle E-Mails an diese Alias-Adresse in den Ordner „Beispiel“ sendet. In diesem Fall wäre jedoch vielleicht ein weniger offensichtlicher Alias als „+apple“ ratsam.

Update, 27. März, 17:06 Uhr: Hinzufügen von Ken’s Perspektive. Auch eine Sektion „Was können Sie tun?“ wurde hinzugefügt.

https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users