Крупнейший в году сезон распродаж — горячее время не только для шоперов, но и для кибермошенников, которые отлично знают, что общий ажиотаж способен притупить бдительность потенциальных жертв. Несколько дней назад эксперт Bleeping Computer Лоуренс Абрамс (Lawrence Abrams) обнаружил масштабную кампанию, нацеленную на кражу персональных идентификаторов и других данных владельцев техники Apple.

Мошенники распространяют письма, замаскированные под подтверждение заказа, якобы недавно оформленного получателем в App Store. К поддельному сообщению прикреплен PDF-файл — судя по имени, детализированный счет. Он, действительно, содержит квитанцию с номером заказа и суммой платежа в размере $30, а также несколько ссылок, которые в таких случаях предлагаются, чтобы покупатель мог заявить о проблеме или ошибке (несанкционированной транзакции).

Как оказалось, все эти URL мошенники сгенерировали на сервисе коротких ссылок, чтобы получатель письма не узнал, куда они ведут на самом деле. Проверка показала, что при переходе по такой ссылке пользователь попадает на страницу, весьма убедительно имитирующую портал управления учетными записями Apple — по словам Абрамса, фальшивку выдает лишь URL. Здесь посетителя просят авторизоваться с помощью Apple ID, а после ввода перебрасывают на страницу, сообщающую о блокировке аккаунта в связи с возможным нарушением безопасности.

Для разблокировки предлагается нажать соответствующую кнопку. Если пользователь выполнит этой действие, то окажется на странице, запрашивающей информацию  учетной записи Apple ID. Мошенники просят назвать полное имя, адрес, номер телефона, номер страховки, дату рождения, платежные данные и ответы на секретные вопросы, в том числе девичью фамилию матери и номер водительских прав или паспорта.

После заполнения фальшивой формы жертве отображается страница ожидания — якобы для завершения выхода из аккаунта, необходимого для восстановления доступа. Затем ее перенаправляют на легитимную страницу портала appleid.apple.com. Примечательно, что сайт Apple реагирует на редирект сообщением «Время сессии истекло, пожалуйста, пройдите авторизацию заново», которое лишь укрепляет иллюзию нормального процесса восстановления доступа к учетной записи.

По свидетельству Абрамса, введенных в фишинговые формы данных авторам атаки вполне хватит, чтобы осуществить кражу личности. В числе прочего они смогут от имени жертвы открыть кредитный счет в банке, получить доступ к другим аккаунтам, заполнять налоговые декларации.

Идентификаторы клиентов Apple всегда считались лакомой добычей в среде киберкриминала. Было время, когда аналогичные схемы обмана, хотя и не столь изощренные, специалисты по ИБ фиксировали каждый раз, когда компания запускала новый продукт или выступала с важным заявлением.

Новый раунд охоты на Apple ID в самом разгаре, и Абрамс напоминает: какими бы искусными ни были подделки фишеров, их всегда выдают URL. Получателям неожиданных сообщений надо быть очень внимательными, а все сомнения лучше разрешать непосредственно на сайте компании, от имени которой прислано письмо.

Категории: Аналитика, Мошенничество, Спам