Привет, Хабр! О фишинге данных iCloud в Бразилии, России и странах СНГ занимательно читать ровно до того момента, как сам становишься участником подобных проишествий.
Действующая схема практически не изменилась, смотрите как это работает:
26 ноября, 22:45
Входящий звонок с незнакомого номера, от знакомой — у неё беда. В театре, пользуясь суматохой в фойе, воры вытянули новенький, свежекупленный iPhone XS из сумки. Девушка в панике, она копила на дорогой гаджет очень долго. Украденный гаджет выключен, сим-карта (скорее всего) извлечена.
Не теряя времени, подказываю как зайти на сайт iCloud и включить на iPhone «режим потери» (Lost mode). Поскольку контактный номер ещё не восстановлен, указываем в сообщении номер телефона хабрапользователя Kpyto — потому я и могу рассказать эту историю, как участник событий.
Что видно через iCloud? Устройство отключено, последнее месторасположение — совсем не рядом с театром, в пределах нескольких километров.
27 ноября, 11:56
Мне приходит SMS сообщение со следующим текстом (URL-адрес указываю через пробелы):
Устройство iРhone XS было обнаружено 27.11.2018 в 11:55. Текущее местоположение устройства на карте: https:// icloud. com. id-apple. info/ ?id=002.86.053
Служба поддержки Aррle
Отправитель сообщения — альфануметрическая надпись «Support».
Не теряя ни секунды (о нет!) я бодро перенаправляю (стоп!!) текст SMS-сообщения знакомой.
Не очень умно — о да. Кажется, что счёт идёт на секунды, вот-вот мы узнаем где воры, полиция задержит их по горячим следам, пульс учащенный, какой же результат?
И тут я ещё раз перечитываю URL адрес. Внимательному читателю не нужно пояснять, но я всё-таки это сделаю — он ведёт на фишинговый сайт, подделку под iCloud. Отзывать отправленное сообщение поздно, знакомая успела ввести логин и пароль на фишинговой странице.
27 ноября, 11:58
iPhone XS исчезает из раздела «Мои устройства» в iCloud, его отслеживание больше недоступно. Злоумышленники провели сброс гаджета, ввели «недостающее звено» — логин и пароль от iCloud, и теперь смогут спокойно сбыть краденное.
27 ноября, 11:59
Сайт
https:// icloud. com. id-apple. info/
начинает «перенаправлять» на официальный сайт iCloud.
Наше время
Что мне удалось выяснить? Официальный запрос к оператору не дал результатов. «Альфануметрический» номер отправителя выдаётся только юридическим лицам. Запрос на эту информацию должна подавать полиция — неизвестно, получится ли выяснить что-то по этому вопросу.
Домен злоумышленников
id-apple. info с поддоменом icloud. com
зарегистрирован у регистратора REG.RU Подана заявка в CERTGIB на проверку «подозрительного» сайта. Никакого ответа от них пока не поступало.Вместо послесловия
Обратите внимание, из каких слов составлен URL и данные отправителя SMS: «id apple icloud support» — по таким словам очень сложно найти упоминание о поддельном сайте, даже если пострадавшие опубликуют где-либо информацию о фишинге. Возможно эта публикация поможет кому-то в будущем сохранять бдительность.
Даже если вы — технически подкованный специалист, и способны распознать фишинг применяя элементарную логику, это не значит что в момент эмоциональных потрясений вы не сделаете осечку. «Переслать» текст из SMS в мессенджер — секундное дело, и это стало моей ошибкой.
«Тупой фишинг» по прежнему прекрасно работает. Apple не отправляет SMS-сообщения о найденном устройстве. Не стоит долго копить на дорогой гаджет, чтобы потом не жалеть так сильно в случае потери. Соблюдайте осторожность, не повторяйте чужих ошибок!