съобщението

Ние анализираме конкретен случай на фишинг, който достига до жертвата на кражба на iPhone чрез SMS, който се стреми да открадне идентификационните данни на iCloud и ключа за отключване

Това би могло да бъде просто полицейска хроника на това, което беше обикновена кражба на мобилен телефон на обществени пътища, и нямаше да съответства на проблемите, които обикновено разглеждаме от компютърната сигурност. Нещо любопитно обаче се случи след кражба на iPhone на познат, който в рамките на няколко часа достигне телефонния си номер, който вече е активирал на друго устройство, SMS, който ви информира, че вашето устройство iPhone е било локализирано.

Измамно SMS съобщение, което достига до жертвата, което показва, че iPhone е бил локализиран

Преди сместа от учудване и радост, жертвата не осъзнава, че адресът, до който е поканен да получи достъп чрез съобщението, изобщо не съответства на официален сайт на Apple, но че води директно до фалшив сайт, който симулира да бъде официалната страница на компанията и къде са го помолили да включи своите потребителски идентификационни данни.

Фалшивата iCloud страница се стреми да открадне идентификационните данни на жертвата за вход

Както се вижда на изображението, домейнът, който се появява в URL адреса, не съответства на официален сайт, въпреки сходния външен вид и използването на известни думи, за да даде истина на измамата и че жертвата попада в капана. За съжаление човекът, който извърши това събитие, попадна в капана и затова изпрати съобщението до лабораторията на ESET за анализ. За да направим това, трябваше да променим последните знаци на връзката, за да достигнем до активния сайт, което показва, че отделни връзки се изпращат до жертва на кражба на едно от тези устройства, търсейки по-голям мониторинг на всяка потенциална жертва.

Фалшивият сайт не проверява дали въведените идентификационни данни са правилни

Единствената цел на страницата е да открадне идентификационните данни, тъй като както се вижда на предишното изображение, при въвеждане на каквато и да е информация сайтът не проверява дали въведените идентификационни данни са верни, а напротив, той приканва потребителя да включи ключът за отключване на мобилния телефон.

Фалшивият сайт иска от жертвата да въведе ключа за отключване на устройството.

Отново, като анализ, ние въвеждаме всеки код, като поясняваме, че всяка неподозираща жертва, която пристигне в този случай, вече е предоставила своите идентификационни данни за iCloud и ключа за отключване на мобилния телефон и за изненада на анализа (и ситуацията, довела до жертва на този случай, за да осъзнае, че това е фишинг) страницата насочва към местоположение в Google maps.

Местоположение в Google Maps, където се предполага, че се намира откраднатото устройство

В конкретния случай това е точка, разположена в провинция Кордова, Аржентина; това само по себе си не казва нищо.

Анализирайки двата домейна, участващи във фишинг пренасочванията, открихме, че един от тях (този в SMS съобщението) е регистриран с данни от Перу, но с адрес на улица Av. Malvinas Argentinas; точка, съвпадаща с местоположението, посочено на картата, където се предполага (че далеч не е вярно) краденият мобилен телефон.

Участващите домейни показват следните данни за регистрация:

Данни за регистрация на домейни

Данни за регистрация на домейни

И двата домейна са регистрирани през последните 60 дни и с URL адреси, които ясно показват намерението да бъдат използвани за измами от типа на социалното инженерство. И двете страници на най-високото си ниво не показват никакъв активен сайт, освен когато са достъпни чрез пълните връзки с поддомейни.

Освен това, когато анализирахме IP на сървъра, установихме, че на този адрес са хоствани още два сайта (днес офлайн), които са ясно създадени за провеждане на фишинг кампании:

Анализът на IP адреса показва, че в този домейн са хоствани други сайтове, представящи се за Apple

Както често се случва при целенасочени атаки за социално инженерство, в този случай престъпниците (вероятно не самите нападатели, но там, където краденото оборудване свършва) са имали телефонния номер на жертвата. Това им позволи да изпратят SMS съобщение в стил подводна фигура, за да се опитат да се възползват от момента на уязвимост, през който е преминала жертвата, която вероятно е преживяла момент на стрес и критериите им за сигурност биха били погрешни поради осъзнаването на новини относно техния телефон; смъртоносна комбинация по отношение на личната безопасност.

Основната препоръка е, както при традиционните фишинг имейли, които пристигат по имейл, никога не трябва да кликвате върху връзките, които получаваме, без първо да проверим техния произход, неговата достоверност и проверете дали е от официален сайт.

В този случай това, което е трябвало да направи жертвата на кражбата на iPhone, е ръчен достъп до сайта iCloud и извършване на необходимите стъпки за използване на услугата за търсене на мобилното устройство. По този начин бихте могли да потвърдите (или не), ако устройството ви е било активно и може да се намира някъде.

Преди време в WeLiveSecurity публикувахме подобна статия, която включваше кражба на мобилен телефон и опит за улавяне на Apple ID, въпреки че по това време не беше поискана парола за отключване на оборудването. Последното разкрива как киберпрестъпниците непрекъснато се стремят да подобряват своите практики и да ги адаптират към напредъка на технологиите и параметрите за сигурност на устройствата.

И разбира се, не можем да пренебрегваме съвета за съобщаване на тези факти, както кражбата на устройството, така и кражбата на лични данни, когато сме жертви на фишинг.