Advertentie
Phishing maakt altijd gebruik van de zwakte van de mens. Bijvoorbeeld door het een dringend bericht te laten lijken van een dierbare, of een professioneel bericht van een werkgever of bank. Een recent veelgebruikte techniek lijkt het overspoelen van gebruikers met multifactor authentication aanvragen. Dit zorgt ervoor dat een gebruikers telefoon compleet vol komt te staan met notificaties die allen afgewezen moeten worden. Een onoplettende of licht onhandige gebruiker heeft een redelijke kans om per ongeluk op: ‘toestaan’, of 'ja', te klikken, waarmee de aanval is gelukt.
Brian Krebs van Krebs on Security heeft deze aanvallen uitgelicht in een recente blogpost. De aanvallen zijn in dit geval met name gericht op gebruikers van Apple-apparaten. Deze manier van phishing bestaat natuurlijk al langer, maar recent lijkt er een behoorlijke opleving te zijn van deze manier van aanvallen, met name bij Apple. Zowel Fancy Bear, die samenwerkt met de Russische geheime dienst, als het minder georganiseerde Lapsus$ hebben de techniek succesvol toegepast.
X-gebruiker en AI-startup oprichter Parth Patel heeft recent zijn ervaringen gedeeld met een ‘MFA prompt bomb’-aanval. Dit deed hij in een post-reeks op X (voormalig twitter). Volgens hem werd hij overspoeld op zowel zijn telefoon, horloge, en laptop met honderden notificaties. Deze notificaties vroegen om zijn wachtwoord te resetten en door de hoeveelheid en werking van dit soort notificaties waren deze apparaten nagenoeg onbruikbaar totdat ze allemaal afgewezen waren. Na deze allemaal te hebben afgewezen werd Patel gebeld door een vervalste Apple support medewerker. Deze had allerlei informatie over hem al klaarliggen, maar vroeg om informatie zoals een Apple ID-code die via SMS ontvangen wordt. Deze informatie wordt altijd opgevolgd met een zin als deel deze informatie met niemand en dit was dus een duidelijke indicatie dat het een vervalst belletje betrof.
Andere doelwitten van deze aanvallen hebben vergelijkbare verhalen en werden ook gebeld. Bij terugbellen naar Apple werd al spoedig duidelijk dat er geen support-ticket openstond voor deze personen.
Dit soort aanvallen zijn relatief eenvoudig te stoppen of af te zwakken door een limiet in te stellen op de hoeveelheid vragen binnen een gegeven tijdsperiode. Een andere optie is multifactor authentication in overeenstemming met FIDO. Deze technologie is niet vatbaar voor zulke aanvallen. Een extra probleem is dat deze aanvallen een groter gevaar vormen op Apple Watch. Door het kleine scherm valt de knop met ‘niet toestaan’ (deels) van het scherm af. Apple heeft op dit moment nog geen actie ondernomen, buiten een support artikel met tips om dit soort aanvallen te herkennen. Enkele jaren geleden was er een vergelijkbaar probleem met AirDrop aanvragen, waarbij een telefoon compleet overrompeld kon worden. Dit probleem heeft het bedrijf toentertijd in iOS 13.3 verholpen door het driemaal afwijzen van AirDrops automatisch nieuwe AirDrops van dezelfde bron te laten blokkeren.