GN⁺: 최근 'MFA Bombing' 공격, 애플 사용자들을 대상으로 함
(krebsonsecurity.com)애플 고객 대상 정교한 피싱 공격
- 최근 애플 고객들이 애플의 비밀번호 재설정 기능에 있는 버그처럼 보이는 정교한 피싱 공격의 대상이 됨.
- 공격 대상자의 애플 기기들이 수십 개의 시스템 레벨 프롬프트를 표시하도록 강제하여, 각 프롬프트에 '허용' 또는 '허용하지 않음'으로 응답할 때까지 기기 사용이 불가능해짐.
- 사용자가 실수로 잘못된 버튼을 누르지 않는다고 가정하면, 사기꾼들은 애플 지원을 사칭하여 전화를 걸어 사용자의 계정이 공격을 받고 있으며, 일회용 코드를 "확인"해야 한다고 말함.
푸시 폭탄 공격과 MFA 피로도
- 창업가인 Parth Patel은 대화형 AI 분야의 스타트업을 구축하려고 시도 중이며, 자신을 대상으로 한 최근의 피싱 캠페인을 트위터에 기록함.
- 이 공격은 '푸시 폭탄' 또는 'MFA 피로도' 공격으로 알려져 있으며, 다중 인증(MFA) 시스템의 기능이나 약점을 남용하여 대상의 기기에 비밀번호 변경이나 로그인 승인 알림을 쇄도하게 함.
- Patel은 자신의 모든 기기가 애플로부터 계정 비밀번호 재설정 승인을 요구하는 시스템 알림으로 폭발했다고 말함.
전화번호가 핵심
- 암호화폐 헤지펀드 소유주인 Chris는 비슷한 피싱 시도를 경험했으며, 공격자들이 며칠 동안 기기에 재설정 알림을 계속 보냈음.
- Chris는 애플 지원을 사칭한 전화를 받았으나, 진짜 애플에 전화를 걸어 확인한 결과 애플은 고객에게 먼저 전화를 걸지 않는다고 함.
- Chris는 비밀번호를 변경하고 새 아이폰을 구입한 후 새 이메일 주소로 새 애플 iCloud 계정을 만듦.
조심하세요!
- 보안 업계 베테랑인 Ken은 익명을 조건으로 이와 유사한 무단 시스템 알림을 받았으나 가짜 애플 지원 전화는 받지 않았음.
- Ken은 애플 지원에 연락하여 최종적으로 고위 애플 엔지니어와 연결되었고, 계정에 대한 복구 키를 활성화하면 알림이 영구적으로 중단될 것이라는 보장을 받음.
- 복구 키는 계정의 보안을 개선하는 선택적 보안 기능이며, 활성화하면 애플의 표준 계정 복구 프로세스가 비활성화됨.
속도 제한
- 합리적으로 설계된 인증 시스템이 사용자가 첫 번째 요청에 대응하기도 전에 몇 분 안에 비밀번호 변경 요청을 수십 개 보낼까?
- 애플은 아직 이에 대한 논평 요청에 응답하지 않음.
할 수 있는 일은?
- 애플은 계정에 전화번호가 있어야 하지만, 계정을 설정한 후에는 반드시 모바일 번호일 필요는 없음.
- 애플은 Google Voice와 같은 VOIP 번호를 받아들이므로, VOIP 번호로 계정 전화번호를 변경하는 것이 하나의 완화책이 될 수 있음.
Hacker News 의견
-
첫 번째 댓글 요약:
기사와 상위 댓글에서 누락된 중요한 정보가 있음: 실수로 '허용'을 탭하더라도 공격자가 웹 브라우저에서 비밀번호를 변경할 수 있는 것은 아님. '허용'을 탭하면 사용자의 기기에 6자리 핀이 표시되고, 사용자는 자신의 기기에서 비밀번호를 변경할 수 있음. 공격의 마지막 단계는 공격자가 Apple의 전화번호로 위장하여 전화를 걸어 사용자에게 6자리 핀을 읽어달라고 요청하는 것임. 사용자가 전화로 6자리 핀을 공격자에게 알려주면, 공격자는 그 핀을 사용하여 사용자의 비밀번호를 재설정할 수 있음.
-
두 번째 댓글 요약:
이 문제는 2021년 또는 2022년에 댓글 작성자와 그의 아내에게 발생했음. 처음에는 하루에 몇 번 요청이 들어왔으나, 시간이 지날수록 매시간 요청이 들어오기 시작함. 댓글 작성자는 공격자의 시도를 막기 위해 두 계정 모두 복구 키를 사용하도록 설정함. 또한, 데이터 보호를 강화하고 웹 접근을 비활성화하여 신뢰할 수 있는 기기만 데이터에 접근하고 새 기기를 등록할 수 있도록 함.
-
세 번째 댓글 요약:
비밀번호 재설정 메시지가 다른 기기에서 비밀번호 재설정을 허용한다면, 그 디자인은 매우 형편없음. 메시지에는 '이 iPhone을 사용하여 재설정'이라고 명시되어 있으므로, '허용'을 클릭한 사람이 동일한 기기에서 새 비밀번호를 설정할 것으로 가정함.
-
네 번째 댓글 요약:
Apple 기기에서 이러한 프롬프트(또는 작년에 뉴스에 나온 Bluetooth 기반의 새 기기 설정 프롬프트와 같은 것들)를 트리거할 수 있는 능력 자체가 문제가 아닌가 의문임. 비밀번호를 재설정할 수 있는 기능은 필요하지만, 기사에 따르면 짧은 시간에 30번의 비밀번호 재설정 요청을 할 수 있다고 함. 이것이 악의적이지 않은 이유가 무엇일까?
-
다섯 번째 댓글 요약:
한 번, Apple 지원센터에서 전화가 왔다고 표시된 전화를 받았음. 이는 온라인 Apple Store에서 새 MacBook을 주문한 지 이틀 후에 발생함. 배송을 기다리고 있었기 때문에 전화를 받을 뻔했지만, 대신 Apple 지원센터에 직접 전화하여 그들이 전화했는지 확인함. 그들은 전화하지 않았다고 답함.
-
여섯 번째 댓글 요약:
이러한 전화의 또 다른 목적이 사용자의 목소리를 충분히 모아 설득력 있게 복제하는 것일 수 있음을 얼마나 오래 걸릴지 궁금함.
-
일곱 번째 댓글 요약:
'허용'을 클릭한 후에 정확히 무슨 일이 발생하는지 혼란스러움. Apple은 iForgot 웹사이트에서 비밀번호 재설정 양식을 제공하는 것인지, 아니면 그것이 기기에만 표시되는 것인지 궁금함.
-
여덟 번째 댓글 요약:
약 2년 전에 이 문제가 발생함. iCloud에서 비밀번호 재설정 요청이 폭주할 때 Apple Care에서 전화가 온 것처럼 위장한 전화를 받으면 당황스러움. 공격자는 Apple 관련 질문에 능숙하게 대답함. 댓글 작성자의 계정 데이터는 큰 Ledger 해킹에서 유출되었을 가능성이 있으며, 공격자들은 암호 화폐 소유자를 대상으로 함. 당시 iCloud 보안은 매우 약했음.
-
아홉 번째 댓글 요약:
Push MFA(다중 인증)가 도입된 이후로 싫어함. 코드를 입력하는 것이 정말 어렵지 않은데, 결국 push 폭탄에 맞서기 위해 코드를 요구하는 push 알림으로 끝남.
-
열 번째 댓글 요약:
몇 일 전부터 LinkedIn 계정에서 마법의 로그인 링크가 포함된 이메일을 몇 시간마다 받고 있음. 이메일은 전 세계 다양한 위치에서 발송된 것으로 보이며 정품으로 보임.