Neuer Phishing-Versuch: Zugriff auf Apple-ID mittels 100 Benachrichtigungen – Schwachstelle bei Apple

  • Gefällt mir
Reaktionen: dg2rbf und thesaw
Apple-Benutzer Ziel einer "MFA Bombing"-Welle (2024) | Borns IT- und Windows-Blog (borncity.com)

Krebs stellt berechtigt die Frage, welches vernünftig konzipierte Authentifizierungssystem binnen kurzer Zeit erlaubt, zig Anfragen für eine Passwortänderung zu senden, wenn die ersten Anfragen noch nicht einmal vom Benutzer beantwortet wurden? Krebs wirft daher die Frage auf, ob diese Art der Angriffe auf einen Fehlers im Design von Apples Passwort-Reset-System zurückzuführen sein könnte? Apple hat dazu auf Anfragen noch nicht Stellung bezogen.
Zum Vergrößern anklicken....

Damit ist eigentlich alles gesagt. Mal wieder ein Design Fehler von Apple.
 
MOM2006 schrieb:
Apple-Benutzer Ziel einer "MFA Bombing"-Welle (2024) | Borns IT- und Windows-Blog (borncity.com)



Damit ist eigentlich alles gesagt. Mal wieder ein Design Fehler von Apple.
Zum Vergrößern anklicken....
Ist unglücklich, stimmt.
Aber, "So manch verärgerter Betroffener könnte also annehmen, dass Flut an Hinweisen kein Ende nimmt und genervt auf „Allow“ tippen. Geschieht dies, kann er nicht länger auf seine Apple-ID zugreifen."
Es ist also immer noch eine Bestätigung des Users nötig. Und wer das ernsthaft macht....
 
  • Gefällt mir
Reaktionen: Oldy62
t_h_o_m_a_s schrieb:
Ist unglücklich, stimmt.
Aber, "So manch verärgerter Betroffener könnte also annehmen, dass Flut an Hinweisen kein Ende nimmt und genervt auf „Allow“ tippen. Geschieht dies, kann er nicht länger auf seine Apple-ID zugreifen."
Es ist also immer noch eine Bestätigung des Users nötig. Und wer das ernsthaft macht....
Zum Vergrößern anklicken....
es würd mich nicht wundern, wenn sich bei der flut an anfragen der ein oder andere benutzer einfach auch schlicktweg verklickt, weil er eben hektisch alle weghaben will.
 
  • Gefällt mir
Reaktionen: Sonnenschein11, Siebenstern und maba_de
t_h_o_m_a_s schrieb:
Es ist also immer noch eine Bestätigung des Users nötig. Und wer das ernsthaft macht....
Zum Vergrößern anklicken....
das machen genügend Leute. Immerhin wird Apple ja nicht müde, vom sicheren System zu sprechen. Manche glauben dass dann halt.
 
  • Gefällt mir
Reaktionen: dg2rbf und Sonnenschein11
Stimmt, deshalb halte ich es ja auch für unglücklich.
Das heißt aber nicht, dass ich die Klicker aus der Verantwortung entlasse. :iD:
 
Liest man den Artikel aufmerksam, wird man feststellen, dass das Opfer sorgfältig ausgesucht wurde (Crypto, AI etc Umfeld)!
Wage es zu bezweifeln, dass dieses "MFA Fatigue" Szenario jemals in der freien Wildbahn, bei Ottonormal Usern vorkommen wird!
:whistle:
 
  • Gefällt mir
Reaktionen: dg2rbf
maba_de schrieb:
das machen genügend Leute. Immerhin wird Apple ja nicht müde, vom sicheren System zu sprechen. Manche glauben dass dann halt.
Zum Vergrößern anklicken....
ja um sicher zu gehen, dass der user auch ganz bestimmt die benachrichtung erhält, lässt man am besten zig hundert anfragen in der minute zu.
 
  • Gefällt mir
Reaktionen: Sonnenschein11
t_h_o_m_a_s schrieb:
Das heißr aber nicht, dass ich die Klicker aus der Verantwortung entlasse. :iD:
Zum Vergrößern anklicken....
keine Frage. Aber wenn ein einfacher (falscher) Klick (!!!) ausreicht, sich auszusperren, dann liegt etwas aber megamässig im Argen.
 
  • Gefällt mir
Reaktionen: dg2rbf und Sonnenschein11
Cassiuzz schrieb:
Liest man den Artikel aufmerksam, wird man feststellen, dass das Opfer sorgfältig ausgesucht wurde (Crypto, AI etc Umfeld)!
Wage es zu bezweifeln, dass dieses "MFA Fatigue" Szenario jemals in der freien Wildbahn, bei Ottonormal Usern vorkommen wird!
:whistle:
Zum Vergrößern anklicken....
ist es nicht egal bei wem es zur anwendung kommt? der fehler ist schlichtweg, das apple derartiges zulässt. aber die sind ja genauso hirntot wie microsoft. deren mfa lösung im privat userumfeld kann ja auch einiges. einfachmal outlook.com starten a valide outlook.com mailadresse eingeben und schon erhält der besitzer in der mfa app eine anfrage um genehmigung. was daran ist noch multifaktor? das passwort muss ja keiner mehr kennen.
 
  • Gefällt mir
Reaktionen: dg2rbf
MOM2006 schrieb:
ist es nicht egal bei wem es zur anwendung kommt? der fehler ist schlichtweg, das apple derartiges zulässt. aber die sind ja genauso hirntot wie microsoft. deren mfa lösung im privat userumfeld kann ja auch einiges. einfachmal outlook.com starten a valide outlook.com mailadresse eingeben und schon erhält der besitzer in der mfa app eine anfrage um genehmigung. was daran ist noch multifaktor? das passwort muss ja keiner mehr kennen.
Zum Vergrößern anklicken....
Natürlich, habe ja auch nicht das Gegenteil behauptet!

Der Angreifer muss aber erstmal an deine Handy Nummer kommen!
Und das ist ziemlich unwahrscheinlich, wenn du sie nicht auf allen Social Media Seiten permanent postest, oder?
Der Trick beim Angriff war ja nicht nur, dass das entnervte Opfer fettfingert, oder auf "Allow" klickt, damit der Wahnsinn ein Ende hat, sondern auch, dass die Angreifer beim Opfer angerufen haben mit gespoofter Apple Support Telefonnummer.
Dort wurde dann erzählt, dass er angegriffen wird und sie einen 2FA Code bräuchten um ihn zu verifizieren!
Und solche Szenarien werden sicherlich "nicht" auf breiter Flur beim normalen Usern ankommen mMn!
;)
 
  • Gefällt mir
Reaktionen: Parakeet, dg2rbf und MOM2006
t_h_o_m_a_s schrieb:
Wenn du jedes ok 15x bestätigen müsstest, wäre das Geschrei auch groß.
Zum Vergrößern anklicken....
tja dann halt nur wiederherstellungsschlüssel zu lassen. mail das ein request kam und fertig. nicht systemmeldungen wo ein user schnell mal entscheiden muss, der dann noch mit zig hundert anfragen belästigt wird. das ist so ziemlich das dümmste. aber ok sicherheit und bequemlichkeit waren noch nie kompatibel
 
  • Gefällt mir
Reaktionen: dg2rbf und t_h_o_m_a_s
Danke für diese Erklärung, Cassiuzz!
Wenn ich das richtig verstanden habe, dient so eine Bombardierung also eher dazu, das Opfer empfänglich für den nachfolgenden gespooften Anruf zu machen? Opfer ist vielleicht genervt, oder hat sogar Angst, dann kommt der Fake-Anruf vom "Apple-Support" mit der Frage nach dem Wiederherstellungcode, um das "Problem zu lösen". Aber der reine Klick auf "Allow" würde trotzdem noch immer lediglich einen Code produzieren. Und wenn die Angreifer es nicht schaffen, diesen abzufischen, können sie den Account auch nicht erfolgreich übernehmen, richtig?
 
Parakeet schrieb:
Aber der reine Klick auf "Allow" würde trotzdem noch immer lediglich einen Code produzieren. Und wenn die Angreifer es nicht schaffen, diesen abzufischen, können sie den Account auch nicht erfolgreich übernehmen, richtig?
Zum Vergrößern anklicken....
Nein, ein einziger (!) Klick auf Allow reicht, um dem Angreifer Zugriff auf das Konto zu gewähren.
 
  • Gefällt mir
Reaktionen: dg2rbf und Sonnenschein11
maba_de schrieb:
Nein, ein einziger (!) Klick auf Allow reicht, um dem Angreifer Zugriff auf das Konto zu gewähren.
Zum Vergrößern anklicken....
Nee!

Siehe hier:
"Ken didn’t know it when all this was happening (and it’s not at all obvious from the Apple prompts), but clicking “Allow” would not have allowed the attackers to change Ken’s password. Rather, clicking “Allow” displays a six digit PIN that must be entered on Ken’s device — allowing Ken to change his password. It appears that these rapid password reset prompts are being used to make a subsequent inbound phone call spoofing Apple more believable."
https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

Das Bombardment aka MFA Fatigue dient lediglich dazu das Opfer zu verunsichern, um ihm dann mit einem gespooften Apple Support Call diesen 6-stelligen Code abzuschwatzen! Und diesen Code bekommt das Opfer erst, indem es auf "Allow" klickt.

Erst DANN und mit diesem Code können die Angreifer das Apple ID Passwort zurücksetzen!
 
  • Gefällt mir
Reaktionen: Parakeet und dg2rbf
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten