[English]Nutzer von Apple-Geräten (iPhone, Apple Watch, Macs) stehen wohl im Visier einer Angriffswelle, die als „MFA Bombing“ bezeichnet wird. Ziel der Angreifer ist es, die Apple-Konten der Opfer durch eine Welle von Passwort-Rücksetz-Anfragen zu übernehmen. Unvorsichtige Nutzer und ein Fehler in Apples Mechanismus zum Zurücksetzen von Passwörtern sollen das begünstigen.
Sicherheits-Reporter Brian Krebs hat den Sachverhalt auf Krebs on Security im Beitrag Recent ‘MFA Bombing’ Attacks Targeting Apple Users öffentlich gemacht. Laut Krebs berichteten mehrere Apple-Nutzer die Tage, dass sie Ziel eines ausgeklügelten Phishing-Angriffs geworden seien. Auf den Systemen der Opfer erscheinen Dutzende von Aufforderungen auf Systemebene, das Passwort zurückzusetzen. Das Popup verhindert die Verwendung des Geräts, bis der Nutzer den Dialog mit „Zulassen“ oder „Nicht zulassen“ schließt.
Ein Fall dokumentiert
Krebs erwähnt den Fall von Parth Patel, ein Unternehmer, der ein Startup im Bereich der Konversations-KI aufbaut. Parth Patel hat zum 23. März 2024 den Angriff in einer Reihe von Tweets dokumentiert – Screenshot zeigt einen Ausschnitt.
Parth Patel schrieb, dass er am vorherigen Abend Ziel eines ausgeklügelten Phishing-Angriffs auf seine Apple-ID geworden sei. Es sei ein sehr aufwändiger, konzentrierter Versuch gewesen, sein Apple ID-Konto anzugreifen, um dieses zu übernehmen. Andere Gründer seien von derselben Gruppe/demselben Angriff ins Visier genommen worden. Daher teilte er, was passiert ist, um die Öffentlichkeit zu informieren.
Die Kampagne begann gegen 18:36 Ortszeit, als alle seine Apple-Geräte plötzlich Benachrichtigungen zum Zurücksetzen des Passworts zeigten. Die betreffenden System-Popups lassen sich nur mit „Zulassen“ oder „Nicht zulassen“ schließen und das Gerät kann nicht benutzt werden. Der Betroffene schrieb, dass er sein Telefon, seine Uhr oder seinen Laptop erst benutzen, wenn er bei über 100 Benachrichtigungen „Nicht zulassen“ gewählt habe.
Er dachte zuerst, dass jemand versucht, ihn zu verarschen – aber er war so aufmerksam, alle Popups mit der Aufforderung zum Passwort-Reset über „Nicht zulassen“ zu schließen. Aber etwa 15 Minuten später riefen ihn jemand unter meiner Nummer an, wobei die Anrufer-ID der offiziellen Apple-Support-Telefonnummer (1 (800) 275-2273) angezeigt wurde. So sollte Vertrauen beim Opfer erreicht werden, wobei die Anrufer-ID der offiziellen Apple-Support-Telefonnummer durch Spoofing von Anrufer-IDs gefälscht war.
Parth Patel war durch die vielen Popups misstrauisch und forderte vom Anrufer eine Verifizierung. Dieser tippte wohl im Hintergrund und beantwortete die Fragen des Opfers. Viele der Antworten zu Fragen nach dem Geburtsdatum, zur E-Mail-Adresse über die Telefonnummer bis hin zur aktuellen Adresse und früheren Adressen wurde korrekt angegeben. Aber die Angreifer haben auf die OSINT-Daten von People Data Labs zugegriffen, wo die Einträge für den Unternehmer zu finden waren.
Glücklicherweise roch das Opfer den Betrug, weil der Anrufer wohl einen Fehler machten und dachten, dass der Name des Opfers Anthony S. sei – eine Angabe, die Parth Patel bei der Abfrage der eigenen OSINT-Daten fand. Bei People Data Labs werden wohl drei Profile angezeigt, wenn man nach dem Unternehmer sucht.
Abschließend wollten die Angreifer, dass das Opfer ihnen ein auf dem Gerät angezeigtes One Time Passwort (OTP) nennt – wobei dieser Code von Apple auf das System des Opfers geschickt wird. Die Meldung enthält aber den Hinweis, diesen Code niemandem weiter zu geben. Hätte das Opfer bei diesem Angriff mit den Passwort-Reset-Aufforderungen einmalig die Schaltfläche „Genehmigen“ bestätigt, oder den OTP-Code weitergegeben, wäre das Konto übernommen gewesen.
Parth Patel schreibt, dass auch andere befreundete Gründer von diesem Angriff betroffen waren. Glücklicherweise wurde keiner von ihnen zum Opfer. Ziel der Angreifer, die wohl großen Aufwand betreiben und mit gefälschter Anrufer-ID des Apple-Supports behaupten, das Konto des Benutzers werde angegriffen und der Apple-Support müsse einen Einmalcode „verifizieren“, ist die Übernahme der betreffenden Apple ID-Konten des Opfers.
Weitere Fälle und Details
Brian Krebs berichtet in seinem Beitrag von weiteren Fällen, die sich in letzter Zeit nach dem gleichen Schema ereignet habe. Ein Opfer ging so weit, in einem Apple-Store gleich ein neues iPhone zu kaufen und einen neuen iCloud-Account mit neuer E-Mail-Adresse anzulegen. Allerdings wurde die eSIM mit seiner Telefonnummer beim neuen Gerät registriert. Während er noch in der örtlichen Apple Genius Bar saß, erhielt es bereits wieder die Systemwarnungen zum Passwort-Reset auf seinem neuen iPhone und dem iCloud-Konto.
Die Apple-Angestellten waren sich im Unklaren, warum die Angreifer die Benachrichtigungen sofort auf das neue Gerät schicken konnten. Der Angegriffene geht aber davon aus, dass die Telefonnummer der Schlüssel ist, um die Passwort-Reset-Meldungen auf den Systemen des Opfers zu generieren – denn die Telefonnummer war der einzige Parameter, der sich beim neuen iPhone nicht geändert hatte.
Eine weitere, anonym bleiben wollende Quelle auch der Sicherheitsbranche berichtete Brian Krebs, dass der Anfang 2024 „mitten in der Nacht, um 00:30 Uhr“ die Passwort-Reset-Benachrichtigungen auf seiner Apple-Watch erhielt, obwohl er diese für Alarme auf stumm geschaltet hatte. Dort musste er am Rädchen der iWatch drehen, um die Schaltfläche ‚Nicht zulassen‘ zu sehen und zu drücken.
Da diese Person länger in der Sicherheitsbranche arbeitete und befürchtete, dass er sich im Schlaf auf die Uhr legt und so ungewollt den Angreifer die Zustimmung zum Passwort-Reset erteilt, kontaktierte er den Apple-Support. Dort wurde er schließlich an einen leitenden Apple-Techniker verwiesen, der ihm verriet, dass es einen Wiederherstellungsschlüssel als eine optionale Sicherheitsfunktion gebe. Dieser soll laut Apple „die Sicherheit Ihres Apple-ID-Kontos verbessern“.
Es handelt sich um einen zufällig generierten 28-Zeichen-Code, der bei Aktivierung des Wiederherstellungsschlüssels den Standard-Wiederherstellungsprozess von Apple deaktivieren soll. Allerdings sei die Aktivierung des Codes nicht ganz einfach, und wer den Code verliert, sperrt sich von all seinen Apple-Geräten dauerhaft aus, zitiert Krebs diesen Nutzer.
Die Hoffnung war, dass mit diesem Wiederherstellungsschlüssel die Passwort-Reset-Aufforderungen gestoppt werden. Aber sowohl diese Person als auch Brian Krebs stellten fest, dass auch der Wiederherstellungsschlüssel nichts daran ändert, dass Dritte eine Aufforderung zum Zurücksetzen des Passworts an die verbundenen Apple-Geräte senden können. Dazu lässt sich die Apple-Seite „Passwort vergessen“ (*ttps://iforgot.apple.com) missbrauchen.
Der Angreifer braucht nur eine eine E-Mail-Adresse anzugeben und ein CAPTCHA zu lösen. Dann werden auf der Seite die letzten beiden Ziffern der mit dem Apple-Konto verknüpften Telefonnummer angezeigt. Gibt der Angreifer die fehlenden Ziffern ein, kann er über „Senden“ eine Systemwarnung zum Zurücksetzen des Passworts auf den der Apple-ID zugeordneten Geräte auslösen (unabhängig davon, ob der Benutzer einen Apple-Wiederherstellungsschlüssel aktiviert hat oder nicht).
Krebs stellt berechtigt die Frage, welches vernünftig konzipierte Authentifizierungssystem binnen kurzer Zeit erlaubt, zig Anfragen für eine Passwortänderung zu senden, wenn die ersten Anfragen noch nicht einmal vom Benutzer beantwortet wurden? Krebs wirft daher die Frage auf, ob diese Art der Angriffe auf einen Fehlers im Design von Apples Passwort-Reset-System zurückzuführen sein könnte? Apple hat dazu auf Anfragen noch nicht Stellung bezogen.
Toller Artikel – Danke.
Weiß man, ob in Deutschland auch schon solche Anfragen auftauchten?
Ich habe nichts vernommen – der Beitrag hat aber das Ziel, die Leserschaft einfach zu warnen.