iphone

Ми аналізуємо конкретний випадок фішингу, який потрапляє до жертви крадіжки iPhone за допомогою SMS, який намагається викрасти облікові дані iCloud та ключ розблокування

Це цілком може бути лише поліцейською хронікою того, що було простою крадіжкою стільникового телефону на дорогах загального користування, і це не буде відповідати питанням, які ми зазвичай вирішуємо з питань комп’ютерної безпеки. Однак щось цікаве сталося після крадіжки iPhone зі своїм знайомим, який за кілька годин досягнув свого номера телефону, який він вже активував на іншому пристрої, SMS-повідомлення про те, що ваш пристрій iPhone знаходився.

Шахрайське SMS-повідомлення, яке надходить до жертви із зазначенням того, що їхній iPhone був знайдений

Перед сумішшю подиву і радості жертва не усвідомлювала, що адреса, до якої його запросили отримати доступ через повідомлення, зовсім не відповідає офіційному веб-сайту Apple, але що вона веде безпосередньо до фальшивого сайту, який імітує офіційна сторінка компанії та де вони попросили його включити свої облікові дані користувача.

Підроблена сторінка iCloud прагне викрасти облікові дані жертви

Як видно на зображенні, домен, що відображається в URL-адресі, не відповідає офіційному веб-сайту, незважаючи на схожий вигляд та використання відомих слів, щоб надати правду обману та те, що жертва потрапляє в пастку. На жаль, людина, яка здійснила цю подію, потрапила в пастку і, отже, направила повідомлення в лабораторію ESET для аналізу. Для цього нам довелося змінити останні символи посилання, щоб дістатися до активного сайту, що показує, що окремі посилання надсилаються жертві крадіжки одного з цих пристроїв з метою посилення моніторингу кожної потенційної жертви.

Фальшивий сайт не перевіряє правильність введених даних

Єдина мета сторінки - викрасти облікові дані, оскільки, як видно з попереднього зображення, при введенні будь-якої інформації сайт не перевіряє правильність введених даних, а навпаки, він пропонує користувачеві включити клавіша розблокування стільникового телефону.

Фальшивий сайт просить жертву ввести ключ розблокування пристрою.

Знову ж таки, в якості аналізу ми вводимо будь-який код, уточнюючи, що будь-яка підозрююча жертва, яка потрапляє в цей екземпляр, вже доставила свої дані iCloud і ключ розблокування мобільного телефону, і на подив аналізу (і ситуація, яка призвела до жертва цієї справи усвідомивши, що це був фішинг) сторінка спрямовує до місця на картах Google.

Розташування на картах Google, де нібито знаходиться викрадений пристрій

У цьому конкретному випадку це пункт, розташований у провінції Кордова, в Аргентині; це саме по собі нічого не говорить.

Аналізуючи два домени, які беруть участь у фішинг-редиректах, ми виявили, що один із них (той, що має SMS-повідомлення) зареєстрований з даними з Перу, але з адресою на вулиці Av. Malvinas Argentinas; точка, що збігається з місцем, вказаним на карті, де нібито (далеко не так) був викрадений стільниковий телефон.

Залучені домени відображають такі реєстраційні дані:

Дані реєстрації доменів

Дані реєстрації доменів

Обидва домени були зареєстровані протягом останніх 60 днів та з URL-адресами, які чітко вказують на намір використовувати їх для обману типу соціальної інженерії. Обидві сторінки на верхньому рівні не відображають жодного активного сайту, за винятком випадків, коли доступ до них здійснюється через повні посилання з субдоменами.

Крім того, проаналізувавши IP-адресу сервера, ми виявили, що за цією адресою (сьогодні в автономному режимі) розміщуються ще два веб-сайти, які чітко створені для проведення фішингових кампаній:

Аналіз IP-адреси показує, що в цьому домені розміщувались інші сайти, що видають себе за Apple

Як це часто буває при цілеспрямованих атаках соціальної інженерії, у цьому випадку у зловмисників (імовірно, не самих рейдерів, а там, де закінчується викрадене обладнання) був номер телефону жертви. Це дозволило їм надіслати SMS-повідомлення у стилі підводної фігури, щоб спробувати скористатися моментом вразливості, через який пережила жертва, яка, ймовірно, пережила момент стресу, і їхні критерії безпеки були б неправильними через обізнаність новин щодо їх телефону; смертельна комбінація, коли мова йде про особисту безпеку.

Основна рекомендація полягає в тому, що, як і в традиційних фішинг-листах, які надходять електронною поштою, ніколи не натискати на посилання, які ми отримуємо, не перевіривши попередньо їх походження, його правдивість і перевірте, чи це з офіційного сайту.

У цьому випадку потерпілим від крадіжки iPhone слід було зробити ручний доступ до сайту iCloud та виконати необхідні дії для використання служби пошуку мобільного пристрою. Таким чином, ви могли б підтвердити (чи ні), якби ваш пристрій десь був активним і його можна було знайти.

Деякий час тому в WeLiveSecurity ми опублікували аналогічну статтю про крадіжку стільникового телефону та спробу захоплення Apple ID, хоча на той час пароль розблокування обладнання не вимагався. Останній показує, як кіберзлочинці постійно прагнуть вдосконалити свою практику та адаптувати їх до вдосконалення технологій та параметрів безпеки пристроїв.

І звичайно, ми не можемо ігнорувати поради повідомляти ці факти, як крадіжку пристрою, так і крадіжку персональних даних, коли ми стаємо жертвами фішингу.