Хабрахабр

Фишинг — работает. Хроника кражи iPhone XS с последующим хищением данных iCloud

О фишинге данных iCloud в Бразилии, России и странах СНГ занимательно читать ровно до того момента, как сам становишься участником подобных проишествий. Привет, Хабр!

Действующая схема практически не изменилась, смотрите как это работает:
26 ноября, 22:45

В театре, пользуясь суматохой в фойе, воры вытянули новенький, свежекупленный iPhone XS из сумки. Входящий звонок с незнакомого номера, от знакомой — у неё беда. Украденный гаджет выключен, сим-карта (скорее всего) извлечена. Девушка в панике, она копила на дорогой гаджет очень долго.

Поскольку контактный номер ещё не восстановлен, указываем в сообщении номер телефона хабрапользователя Kpyto — потому я и могу рассказать эту историю, как участник событий. Не теряя времени, подказываю как зайти на сайт iCloud и включить на iPhone «режим потери» (Lost mode).

Устройство отключено, последнее месторасположение — совсем не рядом с театром, в пределах нескольких километров. Что видно через iCloud?

27 ноября, 11:56

Мне приходит SMS сообщение со следующим текстом (URL-адрес указываю через пробелы):

Устройство iРhone XS было обнаружено 27.11.2018 в 11:55. Текущее местоположение устройства на карте: https:// icloud. com. id-apple. info/ ?id=002.86.053
Служба поддержки Aррle

Отправитель сообщения — альфануметрическая надпись «Support».

Кажется, что счёт идёт на секунды, вот-вот мы узнаем где воры, полиция задержит их по горячим следам, пульс учащенный, какой же результат? Не теряя ни секунды (о нет!) я бодро перенаправляю (стоп!!) текст SMS-сообщения знакомой.
Не очень умно — о да.

Внимательному читателю не нужно пояснять, но я всё-таки это сделаю — он ведёт на фишинговый сайт, подделку под iCloud. И тут я ещё раз перечитываю URL адрес. Отзывать отправленное сообщение поздно, знакомая успела ввести логин и пароль на фишинговой странице.

27 ноября, 11:58

Злоумышленники провели сброс гаджета, ввели «недостающее звено» — логин и пароль от iCloud, и теперь смогут спокойно сбыть краденное. iPhone XS исчезает из раздела «Мои устройства» в iCloud, его отслеживание больше недоступно.

27 ноября, 11:59

Сайт

https:// icloud. com. id-apple. info/

начинает «перенаправлять» на официальный сайт iCloud.

Наше время

Официальный запрос к оператору не дал результатов. Что мне удалось выяснить? Запрос на эту информацию должна подавать полиция — неизвестно, получится ли выяснить что-то по этому вопросу. «Альфануметрический» номер отправителя выдаётся только юридическим лицам.

Домен злоумышленников

id-apple. info с поддоменом icloud. com

зарегистрирован у регистратора REG.RU Подана заявка в CERTGIB на проверку «подозрительного» сайта. Никакого ответа от них пока не поступало.

Вместо послесловия

Возможно эта публикация поможет кому-то в будущем сохранять бдительность. Обратите внимание, из каких слов составлен URL и данные отправителя SMS: «id apple icloud support» — по таким словам очень сложно найти упоминание о поддельном сайте, даже если пострадавшие опубликуют где-либо информацию о фишинге.

«Переслать» текст из SMS в мессенджер — секундное дело, и это стало моей ошибкой. Даже если вы — технически подкованный специалист, и способны распознать фишинг применяя элементарную логику, это не значит что в момент эмоциональных потрясений вы не сделаете осечку.

Apple не отправляет SMS-сообщения о найденном устройстве. «Тупой фишинг» по прежнему прекрасно работает. Соблюдайте осторожность, не повторяйте чужих ошибок! Не стоит долго копить на дорогой гаджет, чтобы потом не жалеть так сильно в случае потери.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть