Капанът зад съобщението „вашият iPhone е локализиран“, след грабеж WeLiveSecurity

съобщението

Ние анализираме конкретен случай на фишинг, който достига до жертвата на кражба на iPhone чрез SMS, който се стреми да открадне идентификационните данни на iCloud и ключа за отключване

Това би могло да бъде просто полицейска хроника на това, което беше обикновена кражба на мобилен телефон на обществени пътища, и нямаше да съответства на проблемите, които обикновено разглеждаме от компютърната сигурност. Нещо любопитно обаче се случи след кражба на iPhone на познат, който в рамките на няколко часа достигне телефонния си номер, който вече е активирал на друго устройство, SMS, който ви информира, че вашето устройство iPhone е било локализирано.

Измамно SMS съобщение, което достига до жертвата, което показва, че iPhone е бил локализиран

Преди сместа от учудване и радост, жертвата не осъзнава, че адресът, до който е поканен да получи достъп чрез съобщението, изобщо не съответства на официален сайт на Apple, но че води директно до фалшив сайт, който симулира да бъде официалната страница на компанията и къде са го помолили да включи своите потребителски идентификационни данни.

Фалшивата iCloud страница се стреми да открадне идентификационните данни на жертвата за вход

Както се вижда на изображението, домейнът, който се появява в URL адреса, не съответства на официален сайт, въпреки сходния външен вид и използването на известни думи, за да даде истина на измамата и че жертвата попада в капана. За съжаление човекът, който извърши това събитие, попадна в капана и затова изпрати съобщението до лабораторията на ESET за анализ. За да направим това, трябваше да променим последните знаци на връзката, за да достигнем до активния сайт, което показва, че отделни връзки се изпращат до жертва на кражба на едно от тези устройства, търсейки по-голям мониторинг на всяка потенциална жертва.

Фалшивият сайт не проверява дали въведените идентификационни данни са правилни

Единствената цел на страницата е да открадне идентификационните данни, тъй като както се вижда на предишното изображение, при въвеждане на каквато и да е информация сайтът не проверява дали въведените идентификационни данни са верни, а напротив, той приканва потребителя да включи ключът за отключване на мобилния телефон.

Фалшивият сайт иска от жертвата да въведе ключа за отключване на устройството.

Отново, като анализ, ние въвеждаме всеки код, като поясняваме, че всяка неподозираща жертва, която пристигне в този случай, вече е предоставила своите идентификационни данни за iCloud и ключа за отключване на мобилния телефон и за изненада на анализа (и ситуацията, довела до жертва на този случай, за да осъзнае, че това е фишинг) страницата насочва към местоположение в Google maps.