Group-IB, один из мировых лидеров в области кибербезопасности, предупреждает о появлении новых мошеннических схем для кражи денег, данных банковских карт и учетных записей Apple под предлогом оплаты и использования сервисов Apple Store, Apple Pay и iTunes. Всего за последние два года эксперты Group-IB обнаружили в зоне RU более 5 000 доменов, созданных для фишинговых атак на россиян только для получения доступа к iPhone и популярным сервисам Apple.
Прекращение работы в России системы бесконтактных платежей Apple Pay и сложности с оплатой в сервисах Apple Store и iTunes натолкнули злоумышленников на создание новых схем для кражи денег, данных банковских карт и учетных данных AppleID. Например, сейчас скамеры активно предлагают пользователям пополнить счет в Apple Store и iTunes с помощью специальных виртуальных карт на суммы в 1 000 рублей, 2 500 рублей, 5 000 рублей, 5 500 рублей и 6 000 рублей.
Владельцы сервиса уверяют, что карты App Store & iTunes Gift Card дают возможность пополнить счет аккаунта и приобрести якобы «любой виртуальный контент в абсолютно всех цифровых магазинах Apple в России»: приложения и игры в App Store, музыку и фильмы в iTunes Store, книги в iBook Store. Для совершения покупки кода необходимо ввести лишь электронную почту, а при оплате — данные банковской карты. Однако, поскольку форма оплаты является фишинговой, все данные и деньги попадут в карман злоумышленников.
В другом случае интернет-мошенники предлагают владельцам iPhone вернуть возможность расплачиваться за товары и услуги с помощью ApplePay. Для этого жертве отправляют фишинговую ссылку на «сервис iCloud» и, если пользователь ввел на фейковом ресурсе свои данные Apple ID, аферисты могут получить доступ к iCloud, App Store, Apple Music, iMessage, FaceTime.
Старые трюки
Но фоне появления новых мошеннических схем специалисты Центра реагирования на инциденты информационной безопасности CERT—GIB предупреждают об активизации фишинга, связанного с угоном аккаунта AppleID. Обычно, мошенники находят телефонный номер человека, который лишился своего iPhone, например, его смартфон был украден или потерян, и отправляют ему фейковые SMS или сообщения в мессенджере от имени техподдержки Apple Inc или сервиса iCloud. Как правило, в сообщении говорится, что iPhone был включен и «локатор» обнаружил его местонахождение.
При этом ссылка ведет на фишинговый ресурс, замаскированный под официальное приложение Find My iPhone, которое позволяет найти местоположение пропавшего телефона или удаленно стереть всю важную информацию. При том, что сообщение выглядит правдоподобно, URL-адрес не соответствует веб-сайту компании: сравните https://www.icloud.com/ и фейковый https://www.icioud.com/
Для просмотра данных о геолокации владельцу украденного смартфона необходимо ввести идентификатор Apple ID — и если он это сделает, злоумышленники получат доступ к «облачным сервисам» Apple, в том числе к фото, документам, сообщениям жертвы. Если жертва не реагирует на SMS-сообщения, с ней попробуют связаться через мессенджеры якобы от имени бота техподдержки Apple и также пытаются обманом выманить код для разблокировки устройства.
Еще одна схема предполагает непосредственный контакт мошенника с жертвой по телефону или в менеджере: незнакомец якобы купил или нашел чужой iPhone и при включении увидел номер прежнего владельца. В ходе разговора или переписки новый хозяин смартфона пытается узнать пароль для разблокировки телефона, который «превратился в кирпич», и обещает отблагодарить за помощь. Однако, получив пароль, злоумышленник исчезает.
Яблочный фиш
За последние два года Центр реагирования на инциденты информационной безопасности CERT-GIB обнаружил в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей. Однако сама схема гораздо масштабнее — всего в мире под подобную тематику созданы не менее 176 000 фейковых доменов под ресурсы, похищающих учетные данные.
Любопытно, что один из пиков регистраций фейковых доменных имен зафиксирован накануне презентации iPhone13 в сентябре 2021 года — аферисты пытались использовать повышенный интерес к бренду.
Что касается механики процесса, то мошенническая схема сейчас уже практически полностью автоматизирована. К примеру, на тематических форумах стоимость скрипта для фишинговых атак на iCloud составляет порядка $100-$150, а недельная аренда мультибрендовой фишинговой панели составляет $500. С их помощью начинающий злоумышленник получает доступ к большому количеству готовых фишинговых сайтов, при чем от него требуется лишь отправлять ссылки жертве, а украденные учетные данные «прилетают» в Telegram-бот.
«Схема с угоном AppleID известна достаточно давно и судя по тому, что злоумышленники регистрируют все новые и новые фишинговые ресурсы и активно продают фишинговые инструменты, работает она по всему миру и, к сожалению, довольно успешно, — замечает Юлия Зинган, старший аналитик CERT-GIB. — Мы замечаем, что в различных регионах используются свои скрипты и сценарии — в России, например, мошенники пытаются использовать прекращение работы Apple Pay и сложности с пополнением счета в Apple Store и iTunes».
Эксперты предупреждают об опасности таргетированного фишинга и напоминают о необходимости защиты идентификатора AppleID: используйте двухфакторную аутентификацию, никому не сообщайте свой пароль идентификатора Apple ID или коды подтверждения. Служба поддержки Apple никогда не запрашивает эту информацию.