29 November 2018

Фишинг — работает. Хроника кражи iPhone XS с последующим хищением данных iCloud

Information SecurityGadgetsSmartphones


Привет, Хабр! О фишинге данных iCloud в Бразилии, России и странах СНГ занимательно читать ровно до того момента, как сам становишься участником подобных проишествий.

Действующая схема практически не изменилась, смотрите как это работает:

26 ноября, 22:45

Входящий звонок с незнакомого номера, от знакомой — у неё беда. В театре, пользуясь суматохой в фойе, воры вытянули новенький, свежекупленный iPhone XS из сумки. Девушка в панике, она копила на дорогой гаджет очень долго. Украденный гаджет выключен, сим-карта (скорее всего) извлечена.

Не теряя времени, подказываю как зайти на сайт iCloud и включить на iPhone «режим потери» (Lost mode). Поскольку контактный номер ещё не восстановлен, указываем в сообщении номер телефона хабрапользователя Kpyto — потому я и могу рассказать эту историю, как участник событий.

Что видно через iCloud? Устройство отключено, последнее месторасположение — совсем не рядом с театром, в пределах нескольких километров.

27 ноября, 11:56

Мне приходит SMS сообщение со следующим текстом (URL-адрес указываю через пробелы):

Устройство iРhone XS было обнаружено 27.11.2018 в 11:55. Текущее местоположение устройства на карте: https:// icloud. com. id-apple. info/ ?id=002.86.053
Служба поддержки Aррle

Отправитель сообщения — альфануметрическая надпись «Support».

Не теряя ни секунды (о нет!) я бодро перенаправляю (стоп!!) текст SMS-сообщения знакомой.
Не очень умно — о да. Кажется, что счёт идёт на секунды, вот-вот мы узнаем где воры, полиция задержит их по горячим следам, пульс учащенный, какой же результат?

И тут я ещё раз перечитываю URL адрес. Внимательному читателю не нужно пояснять, но я всё-таки это сделаю — он ведёт на фишинговый сайт, подделку под iCloud. Отзывать отправленное сообщение поздно, знакомая успела ввести логин и пароль на фишинговой странице.

27 ноября, 11:58

iPhone XS исчезает из раздела «Мои устройства» в iCloud, его отслеживание больше недоступно. Злоумышленники провели сброс гаджета, ввели «недостающее звено» — логин и пароль от iCloud, и теперь смогут спокойно сбыть краденное.

27 ноября, 11:59

Сайт
https:// icloud. com. id-apple. info/ 

начинает «перенаправлять» на официальный сайт iCloud.

Наше время

Что мне удалось выяснить? Официальный запрос к оператору не дал результатов. «Альфануметрический» номер отправителя выдаётся только юридическим лицам. Запрос на эту информацию должна подавать полиция — неизвестно, получится ли выяснить что-то по этому вопросу.

Домен злоумышленников
id-apple. info с поддоменом icloud. com
зарегистрирован у регистратора REG.RU Подана заявка в CERTGIB на проверку «подозрительного» сайта. Никакого ответа от них пока не поступало.

Вместо послесловия

Обратите внимание, из каких слов составлен URL и данные отправителя SMS: «id apple icloud support» — по таким словам очень сложно найти упоминание о поддельном сайте, даже если пострадавшие опубликуют где-либо информацию о фишинге. Возможно эта публикация поможет кому-то в будущем сохранять бдительность.

Даже если вы — технически подкованный специалист, и способны распознать фишинг применяя элементарную логику, это не значит что в момент эмоциональных потрясений вы не сделаете осечку. «Переслать» текст из SMS в мессенджер — секундное дело, и это стало моей ошибкой.

«Тупой фишинг» по прежнему прекрасно работает. Apple не отправляет SMS-сообщения о найденном устройстве. Не стоит долго копить на дорогой гаджет, чтобы потом не жалеть так сильно в случае потери. Соблюдайте осторожность, не повторяйте чужих ошибок!
Tags:iphoneicloudфишингглупый пользовательэх тыстыдно
Hubs: Information Security Gadgets Smartphones
+55
36.6k 51
Comments 116
Popular right now