{"id":293839,"date":"2024-03-28T00:41:57","date_gmt":"2024-03-27T23:41:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293839"},"modified":"2024-03-28T01:04:49","modified_gmt":"2024-03-28T00:04:49","slug":"apple-benutzer-ziel-einer-mfa-bombing-welle-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/28\/apple-benutzer-ziel-einer-mfa-bombing-welle-2024\/","title":{"rendered":"Apple-Benutzer Ziel einer "MFA Bombing"-Welle (2024)"},"content":{"rendered":"

[English<\/a>]Nutzer von Apple-Ger\u00e4ten (iPhone, Apple Watch, Macs) stehen wohl im Visier einer Angriffswelle, die als \"MFA Bombing\" bezeichnet wird. Ziel der Angreifer ist es, die Apple-Konten der Opfer durch eine Welle von Passwort-R\u00fccksetz-Anfragen zu \u00fcbernehmen. Unvorsichtige Nutzer und ein Fehler in Apples Mechanismus zum Zur\u00fccksetzen von Passw\u00f6rtern sollen das beg\u00fcnstigen.<\/p>\n

<\/p>\n

\"\"Sicherheits-Reporter Brian Krebs hat den Sachverhalt auf Krebs on Security im Beitrag Recent 'MFA Bombing' Attacks Targeting Apple Users<\/a> \u00f6ffentlich gemacht. Laut Krebs berichteten mehrere Apple-Nutzer die Tage, dass sie Ziel eines\u00a0 ausgekl\u00fcgelten Phishing-Angriffs geworden seien. Auf den Systemen der Opfer erscheinen Dutzende von Aufforderungen auf Systemebene, das Passwort zur\u00fcckzusetzen. Das Popup verhindert die Verwendung des Ger\u00e4ts, bis der Nutzer den Dialog mit \"Zulassen\" oder \"Nicht zulassen\" schlie\u00dft.<\/p>\n

Ein Fall dokumentiert<\/h2>\n

Krebs erw\u00e4hnt den Fall von Parth Patel, ein Unternehmer, der ein Startup im Bereich der Konversations-KI aufbaut. Parth Patel hat zum 23. M\u00e4rz 2024 den Angriff in einer Reihe von Tweets<\/a> dokumentiert – Screenshot zeigt einen Ausschnitt.<\/p>\n

<\/a><\/p>\n

Parth Patel schrieb, dass er am vorherigen Abend Ziel eines ausgekl\u00fcgelten Phishing-Angriffs auf seine Apple-ID geworden sei. Es sei ein sehr aufw\u00e4ndiger, konzentrierter Versuch gewesen, sein Apple ID-Konto anzugreifen, um dieses zu \u00fcbernehmen. Andere Gr\u00fcnder seien von derselben Gruppe\/demselben Angriff ins Visier genommen worden. Daher teilte er, was passiert ist, um die \u00d6ffentlichkeit zu informieren.<\/p>\n

Die Kampagne begann gegen 18:36 Ortszeit, als alle seine Apple-Ger\u00e4te pl\u00f6tzlich Benachrichtigungen zum Zur\u00fccksetzen des Passworts zeigten. Die betreffenden System-Popups lassen sich nur mit \"Zulassen\" oder \"Nicht zulassen\" schlie\u00dfen und das Ger\u00e4t kann nicht benutzt werden. Der Betroffene schrieb, dass er sein Telefon, seine Uhr oder seinen Laptop erst benutzen, wenn er bei \u00fcber 100 Benachrichtigungen \"Nicht zulassen\" gew\u00e4hlt habe.<\/p>\n

Er dachte zuerst, dass jemand versucht, ihn zu verarschen – aber er war so aufmerksam, alle Popups mit der Aufforderung zum Passwort-Reset \u00fcber \"Nicht zulassen\" zu schlie\u00dfen. Aber etwa 15 Minuten sp\u00e4ter riefen ihn jemand unter meiner Nummer an, wobei die Anrufer-ID der offiziellen Apple-Support-Telefonnummer (1 (800) 275-2273) angezeigt wurde. So sollte Vertrauen beim Opfer erreicht werden, wobei die Anrufer-ID der offiziellen Apple-Support-Telefonnummer durch Spoofing von Anrufer-IDs gef\u00e4lscht war.<\/p>\n

Parth Patel war durch die vielen Popups misstrauisch und forderte vom Anrufer eine Verifizierung. Dieser tippte wohl im Hintergrund und beantwortete die Fragen des Opfers. Viele der Antworten zu Fragen nach dem Geburtsdatum, zur E-Mail-Adresse \u00fcber die Telefonnummer bis hin zur aktuellen Adresse und fr\u00fcheren Adressen wurde korrekt angegeben. Aber die Angreifer haben auf die OSINT-Daten von People Data Labs zugegriffen, wo die Eintr\u00e4ge f\u00fcr den Unternehmer zu finden waren.<\/p>\n

Gl\u00fccklicherweise roch das Opfer den Betrug, weil der Anrufer wohl einen Fehler machten und dachten, dass der Name des Opfers Anthony S. sei – eine Angabe, die Parth Patel bei der Abfrage der eigenen OSINT-Daten fand. Bei People Data Labs werden wohl drei Profile angezeigt, wenn man nach dem Unternehmer sucht.<\/p>\n

Abschlie\u00dfend wollten die Angreifer, dass das Opfer ihnen ein auf dem Ger\u00e4t angezeigtes One Time Passwort (OTP) nennt – wobei dieser Code von Apple auf das System des Opfers geschickt wird. Die Meldung enth\u00e4lt aber den Hinweis, diesen Code niemandem weiter zu geben. H\u00e4tte das Opfer bei diesem Angriff mit den Passwort-Reset-Aufforderungen einmalig die Schaltfl\u00e4che \"Genehmigen\" best\u00e4tigt, oder den OTP-Code weitergegeben, w\u00e4re das Konto \u00fcbernommen gewesen.<\/p>\n

Parth Patel schreibt, dass auch andere befreundete Gr\u00fcnder von diesem Angriff betroffen waren. Gl\u00fccklicherweise wurde keiner von ihnen zum Opfer. Ziel der Angreifer, die wohl gro\u00dfen Aufwand betreiben und mit gef\u00e4lschter Anrufer-ID des Apple-Supports behaupten, das Konto des Benutzers werde angegriffen und der Apple-Support m\u00fcsse einen Einmalcode \"verifizieren\", ist die \u00dcbernahme der betreffenden Apple ID-Konten des Opfers.<\/p>\n

Weitere F\u00e4lle und Details<\/h2>\n

Brian Krebs berichtet in seinem Beitrag von weiteren F\u00e4llen, die sich in letzter Zeit nach dem gleichen Schema ereignet habe. Ein Opfer ging so weit, in einem Apple-Store gleich ein neues iPhone zu kaufen und einen neuen iCloud-Account mit neuer E-Mail-Adresse anzulegen. Allerdings wurde die eSIM mit seiner Telefonnummer beim neuen Ger\u00e4t registriert. W\u00e4hrend er noch in der \u00f6rtlichen Apple Genius Bar sa\u00df, erhielt es bereits wieder die Systemwarnungen zum Passwort-Reset auf seinem neuen iPhone und dem iCloud-Konto.<\/p>\n

Die Apple-Angestellten waren sich im Unklaren, warum die Angreifer die Benachrichtigungen sofort auf das neue Ger\u00e4t schicken konnten. Der Angegriffene geht aber davon aus, dass die Telefonnummer der Schl\u00fcssel ist, um die Passwort-Reset-Meldungen auf den Systemen des Opfers zu generieren – denn die Telefonnummer war der einzige Parameter, der sich beim neuen iPhone nicht ge\u00e4ndert hatte.<\/p>\n

Eine weitere, anonym bleiben wollende Quelle auch der Sicherheitsbranche berichtete Brian Krebs, dass der Anfang 2024 \"mitten in der Nacht, um 00:30 Uhr\" die Passwort-Reset-Benachrichtigungen auf seiner Apple-Watch erhielt, obwohl er diese f\u00fcr Alarme auf stumm geschaltet hatte.\u00a0 Dort musste er am R\u00e4dchen der iWatch drehen, um die Schaltfl\u00e4che 'Nicht zulassen' zu sehen und zu dr\u00fccken.<\/p>\n

Da diese Person l\u00e4nger in der Sicherheitsbranche arbeitete und bef\u00fcrchtete, dass er sich im Schlaf auf die Uhr legt und so ungewollt den Angreifer die Zustimmung zum Passwort-Reset erteilt, kontaktierte er den Apple-Support. Dort wurde er schlie\u00dflich an einen leitenden Apple-Techniker verwiesen, der ihm verriet, dass es einen Wiederherstellungsschl\u00fcssel als eine optionale Sicherheitsfunktion gebe. Dieser soll laut Apple \"die Sicherheit Ihres Apple-ID-Kontos verbessern\".<\/p>\n

Es handelt sich um einen zuf\u00e4llig generierten 28-Zeichen-Code, der bei Aktivierung des Wiederherstellungsschl\u00fcssels den Standard-Wiederherstellungsprozess von Apple deaktivieren soll. Allerdings sei die Aktivierung des Codes nicht ganz einfach, und wer den Code verliert, sperrt sich von all seinen Apple-Ger\u00e4ten dauerhaft aus, zitiert Krebs diesen Nutzer.<\/p>\n

Die Hoffnung war, dass mit diesem Wiederherstellungsschl\u00fcssel die Passwort-Reset-Aufforderungen gestoppt werden. Aber sowohl diese Person als auch Brian Krebs stellten fest, dass auch der Wiederherstellungsschl\u00fcssel nichts daran \u00e4ndert, dass Dritte eine Aufforderung zum Zur\u00fccksetzen des Passworts an die verbundenen Apple-Ger\u00e4te senden k\u00f6nnen. Dazu l\u00e4sst sich die Apple-Seite \"Passwort vergessen\" (*ttps:\/\/iforgot.apple.com) missbrauchen.<\/p>\n

Der Angreifer braucht nur eine eine E-Mail-Adresse anzugeben und ein CAPTCHA zu l\u00f6sen. Dann werden auf der Seite die letzten beiden Ziffern der mit dem Apple-Konto verkn\u00fcpften Telefonnummer angezeigt. Gibt der Angreifer die fehlenden Ziffern ein, kann er \u00fcber \"Senden\" eine Systemwarnung zum Zur\u00fccksetzen des Passworts auf den der Apple-ID zugeordneten Ger\u00e4te ausl\u00f6sen (unabh\u00e4ngig davon, ob der Benutzer einen Apple-Wiederherstellungsschl\u00fcssel aktiviert hat oder nicht).<\/p>\n

Krebs stellt berechtigt die Frage, welches vern\u00fcnftig konzipierte Authentifizierungssystem binnen kurzer Zeit erlaubt, zig Anfragen f\u00fcr eine Passwort\u00e4nderung zu senden, wenn die ersten Anfragen noch nicht einmal vom Benutzer beantwortet wurden? Krebs wirft daher die Frage auf, ob diese Art der Angriffe auf einen Fehlers im Design von Apples Passwort-Reset-System zur\u00fcckzuf\u00fchren sein k\u00f6nnte? Apple hat dazu auf Anfragen noch nicht Stellung bezogen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nutzer von Apple-Ger\u00e4ten (iPhone, Apple Watch, Macs) stehen wohl im Visier einer Angriffswelle, die als \"MFA Bombing\" bezeichnet wird. Ziel der Angreifer ist es, die Apple-Konten der Opfer durch eine Welle von Passwort-R\u00fccksetz-Anfragen zu \u00fcbernehmen. Unvorsichtige Nutzer und ein Fehler … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[440,1063,426],"tags":[562,4328],"class_list":["post-293839","post","type-post","status-publish","format-standard","hentry","category-ios","category-mac-os-x","category-sicherheit","tag-apple","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293839","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293839"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293839\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293839"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293839"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293839"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}