Разработчики: | Apple |
Дата последнего релиза: | 2022/05/17 |
Технологии: | ИБ - Аутентификация |
Apple ID — система аутентификации, которая используется во многих продуктах Apple, в том числе iTunes Store, App Store, iCloud и др.
2022: Мошенники используют фишинг под сервисы Apple
17 мая 2022 года компания Group-IB сообщила о появлении мошеннических схем для кражи денег, данных банковских карт и учетных записей Apple под предлогом оплаты и использования сервисов Apple Store, Apple Pay и iTunes. Всего за последние два года эксперты Group-IB обнаружили в зоне RU более 5 000 доменов, созданных для фишинговых атак на россиян только для получения доступа к iPhone и сервисам Apple.
Как сообщалось, прекращение работы в России системы бесконтактных платежей Apple Pay и сложности с оплатой в сервисах Apple Store и iTunes натолкнули злоумышленников на создание других схем для кражи денег, данных банковских карт и учетных данных AppleID. Например, на май 2022 года скамеры активно предлагают пользователям пополнить счет в Apple Store и iTunes с помощью специальных виртуальных карт на суммы в 1 000 рублей, 2 500 рублей, 5 000 рублей, 5 500 рублей и 6 000 рублей.
Владельцы сервиса уверяют, что карты App Store & iTunes Gift Card дают возможность пополнить счет аккаунта и приобрести якобы «любой виртуальный контент в абсолютно всех цифровых магазинах Apple в России»: приложения и игры в App Store, музыку и фильмы в iTunes Store, книги в iBook Store. Для совершения покупки кода необходимо ввести лишь электронную почту, а при оплате — данные банковской карты. Однако, поскольку форма оплаты является фишинговой, все данные и деньги попадут в карман злоумышленников.
В другом случае интернет-мошенники предлагают владельцам iPhone вернуть возможность расплачиваться за товары и услуги с помощью ApplePay. Для этого жертве отправляют фишинговую ссылку на «сервис iCloud» и, если пользователь ввел на фейковом ресурсе свои данные Apple ID, аферисты могут получить доступ к iCloud, App Store, Apple Music, iMessage, FaceTime.Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
Но фоне появления мошеннических схем специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB предупреждают об активизации фишинга, связанного с угоном аккаунта AppleID. Обычно, мошенники находят телефонный номер человека, который лишился своего iPhone, например, его смартфон был украден или потерян, и отправляют ему фейковые SMS или сообщения в мессенджере от имени техподдержки Apple Inc или сервиса iCloud. Как правило, в сообщении говорится, что iPhone был включен и «локатор» обнаружил его местонахождение.
При этом ссылка ведет на фишинговый ресурс, замаскированный под официальное приложение Find My iPhone, которое позволяет найти местоположение пропавшего телефона или удаленно стереть всю важную информацию. При том, что сообщение выглядит правдоподобно, URL-адрес не соответствует веб-сайту компании: для сравнения icloud.com и фейковый icioud.com.
Для просмотра данных о геолокации владельцу украденного смартфона необходимо ввести идентификатор Apple ID — и если он это сделает, злоумышленники получат доступ к «облачным сервисам» Apple, в том числе к фото, документам, сообщениям жертвы. Если жертва не реагирует на SMS-сообщения, с ней попробуют связаться через мессенджеры якобы от имени бота техподдержки Apple и также пытаются обманом выманить код для разблокировки устройства.
Еще одна схема предполагает непосредственный контакт мошенника с жертвой по телефону или в менеджере: незнакомец якобы купил или нашел чужой iPhone и при включении увидел номер прежнего владельца. В ходе разговора или переписки новый хозяин смартфона пытается узнать пароль для разблокировки телефона, который «превратился в кирпич», и обещает отблагодарить за помощь. Однако, получив пароль, злоумышленник исчезает.
За последние два года Центр реагирования на инциденты информационной безопасности CERT-GIB обнаружил в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей. Однако сама схема гораздо масштабнее — всего в мире под подобную тематику созданы не менее 176 000 фейковых доменов под ресурсы, похищающих учетные данные.
Один из пиков регистраций фейковых доменных имен зафиксирован накануне презентации iPhone 13 в сентябре 2021 года — аферисты пытались использовать повышенный интерес к бренду.
Что касается механики процесса, то мошенническая схема на май 2022 года уже практически полностью автоматизирована. К примеру, на тематических форумах стоимость скрипта для фишинговых атак на iCloud составляет порядка $100-$150, а недельная аренда мультибрендовой фишинговой панели составляет $500. С их помощью начинающий злоумышленник получает доступ к большому количеству готовых фишинговых сайтов, при чем от него требуется лишь отправлять ссылки жертве, а украденные учетные данные «прилетают» в Telegram-бот.
Схема с угоном AppleID известна достаточно давно и судя по тому, что злоумышленники регистрируют различные фишинговые ресурсы и активно продают фишинговые инструменты, работает она по всему миру и, к сожалению, довольно успешно. Мы замечаем, что в различных регионах используются свои скрипты и сценарии — в России, например, мошенники пытаются использовать прекращение работы Apple Pay и сложности с пополнением счета в Apple Store и iTunes. заметила Юлия Зинган, старший аналитик CERT-GIB |
Эксперты предупреждают об опасности таргетированного фишинга и напоминают о необходимости защиты идентификатора Apple ID: используйте двухфакторную аутентификацию, не следует никому сообщать свой пароль идентификатора Apple ID или коды подтверждения. Служба поддержки Apple никогда не запрашивает эту информацию.
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (848)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
TUV Austria (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (470, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
ГК ОТР (1, 1)
Мультифактор (Multifactor) (1, 1)
Samsung Electronics (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
Т-Банк (Тинькофф Банк) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
VK (ранее Mail.ru Group) (1, 1)
Индид, Indeed (ранее Indeed ID) (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
Multifactor Сервис многофакторной аутентификации - 1
JaCarta Authentication Server (JAS) - 1
Samsung Knox - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Avanpost IDM Access System - 1
Solar webProxy Шлюз веб-безопасности - 1
Другие 1