Недавно мы наблюдали рассылку сообщений от имени компании Apple, целью которой для злоумышленников было получить конфиденциальные данные пользователей, а, именно, логины и пароли от учетных записей Apple ID. Распространенность устройств и сервисов от Apple, делает использование этой темы для злоумышленников весьма актуальным.
Рассылаемые SMS-сообщения содержат фишинговую ссылку, как показано ниже.
Текст в сообщениях уведомляет пользователя о том, что его идентификатор Apple ID истек или то, что аккаунт был временно заморожен с использованием функции безопасности сервиса. При этом от пользователя требуется подтверждение своей личности.
Так или иначе, цель у мошенников всегда одна — заманить пользователя на фальшивую веб-страницу ввода учетных данных Apple ID, которые затем попадут в руки злоумышленников. Для этого ему нужно перейти по ссылке из текстового сообщения. В некоторых случаях, злоумышленники также могут попросить пользователя ввести данные кредитной карты и другой личной информации. Как можно увидеть на скриншоте ниже, злоумышленники не всегда ориентируются на англоговорящую аудиторию.
Несмотря на то, что количество пользователей, которые следуют инструкциям злоумышленников и переходят по ссылке, невелико, выгода для злоумышленников может быть более существенной, поскольку получив учетные данные аккаунта, они могут получить доступ к личным данным пользователя.
В то же время, киберпреступники пытаются вырабатывать новые варианты фишинговых атак, совершенствуя свои навыки. Например, на следующем скриншоте показан пример сообщения, в котором злоумышленники пытаются уговорить пользователя отписаться от будущих сообщений от Apple.
На следующем примере продемонстрировано сообщение мессенджера iMessage, которое пришло пользователю из Германии. При этом утверждается, что был обнаружен потерянный iPhone.
Конечно же, переход по ссылке из сообщения не ведет пользователя на легитимный веб-сайт Apple.
Наиболее верным способом профилактики в случае таких атак на пользователей является их информирование. Только информирование может действительно помочь предотвратить ситуацию компрометации учетных данных пользователей.
Недавно известный комик британского телевидения Al Murray, который хорошо известен своей ролью «Pub Landlord», использовал твиттер для уведомления своих 400 тыс. подписчиков о подозрительном текстовом сообщении, которое было им получено. При этом его просили пройти по ссылке и ввести в открывшейся веб-странице свои учетные данные Apple ID.
Следующими инструкциями следует воспользоваться после получения подобных фишинговых писем.
- Сообщите о фишинговом URL-адресе, а также о содержимом сообщения в Google’s Safe Browsing Team. Если URL действительно окажется фишинговым, Google Chrome и другие веб-браузеры обновятся этой информацией для последующего предупреждения пользователей.
- Если это возможно, сообщите номер с которого пришло фишинговое текстовое сообщение своему оператору мобильной связи для его последующей блокировки. Такая мера поможет защитить от мошенничества других пользователей.
- Ни в коем случае не отвечайте на фишинговое сообщение и не переходите по ссылке внутри него.
Мы рекомендуем пользователям сервисов Apple использовать двухфакторную аутентификацию как дополнительный способ защиты своих аккаунтов. Таким образом, даже если злоумышленникам удастся заполучить пароль от аккаунта, они не смогут им воспользоваться для кражи данных.
Комментарии (9)
IGHOR
30.11.2016 17:25Самое главное не сказали, зачем это делают.
Все это направлено на получения доступа к Apple ID чтобы удалить от-туда потерянное устройство.
Популярность таких методов атаки возросла именно из-за большого спроса на «отвязку от iCloud».
Сам не понаслышке знаю, так как слишком много владельцев заблокированных iCloud устройств ошибочно считают меня предыдущим владельцем.
Они отдают устройство в «сервисы разблокировки» говоря что я предыдущий владелец, а они уже присылают фишинг сообщения.
PapaBubaDiop
30.11.2016 20:05считают меня предыдущим владельцем
Почему? У вас популярный Apple ID?IGHOR
30.11.2016 21:15Потому что с заблокированных устройств можно зайти только на мой сервер iCloud DNS Bypass.
А там как только находят мое имя, как разработчика сервера, то по глупости думают что я владелец их устройства. А количество таких большое наверно потому что пользователей уже больше 8млн.
Пытаются нагуглить мою информацию и отправляют фишинг страницы на все что находят.
electronus
01.12.2016 21:42Мне никогда не приходили фишинговые имейлы от имени эппл, пока я в один день не стал их клиентом. Зарегал эппл айди, дабы активировать служебный айфон6 и посыпалось как из рога изобилия. При условии, что после активации телефона я попользовался им один день как звонилкой, потом резетнул в дифолт и сдал работодателю. Что же получается, яблочная инфраструктура — решето?
vdasus
Где-то прочитал здравый совет: надо вводить первый раз НЕправильный пароль для апплеид. Настоящий сервис возмутится, а ложный слопает.
IGHOR
Не возмутится, они тоже делают проверку. Слышал на форумах даже хвастались что рыбка у них аж 15 раз пароль не верно вводила и на 16-тый вспомнила.
Alexeyuts
Не понял, как они делают проверку-то если сами же пытаются украсть введенные пользователем данные? Проверку по БД логинов/паролей Apple?:)
IGHOR
Они со своего сервера пробуют по сайтовому API логиниться в Apple.
cybernortham
а если не слопает?.. и второй раз пароль будет введен правильно?.. такой себе совет.
Буквально на днях видел фишинговый сайт с формой авторизации, которая на каждую первую попытку возвращала «неверный пароль», а на вторую писала, что пароль принят, и переадресовывала на реальный официальный сайт компании. И это все независимо от того, одинаковые или разные пароли вводились в формы (это, правда, был не apple, а крупный банк, но суть та же).