Инциденты

Яблоко развода

Популярность продукции Apple растет, а вместе с ней растет и желание мошенников подзаработать на ее владельцах. Целью злоумышленников является кража данных Apple ID, дающих доступ к хранящейся в iCloud   личной информации пользователя (фотографии, контакты, документы, почта и т.д.) и покупкам, которые владелец аккаунта совершил в фирменном магазине iTunes Store. Многие злоумышленники заходят еще дальше и пытаются украсть данные банковской карты, используемой для оплаты покупок.

Инструментом мошенников являются фишинговые сайты, маскирующиеся под известный официальный ресурс apple.com. С начала 2012 года и по сегодняшний день мы наблюдаем заметный рост числа срабатываний веб-антивируса при  переходе пользователей нашего продукта на подобные поддельные сайты, что является следствием возросшей активности злоумышленников. За вышеупомянутый период мы фиксировали в среднем около 200 тысяч срабатываний в день. Для сравнения, в 2011 году аналогичный показатель составлял около 1 тысячи срабатываний.

 
Статистика срабатываний эвристического анализатора с января 2012 года по май 2013 (количество срабатываний в день)

В отдельные дни количество срабатываний веб-антивируса, детектирующего фишинговые подделки под apple.com, превышало среднее значение в несколько раз. Мы отметили несколько скачков, самые значительные из которых произошли 6 декабря 2012 года (939549 срабатываний) и 1 мая 2013 года (856025 срабатываний).  Периодический рост активности злоумышленников и, как следствие, количества срабатываний веб-антивируса можно объяснить важными событиями в жизни компании Apple. Например, декабрьский скачок произошел сразу после открытия iTunes Store в России, Турции, Индии, Южной Африке и еще в 52 странах мира.

Каким образом пользователи попадают на поддельные сайты? Один из самых популярных приемов – распространение ссылок на фишинговые сайты в спам-рассылках. Например, мошенники рассылают от имени компании Apple сообщения, в которых просят получателя подтвердить свой аккаунт, пройдя по ссылке в письме. Ссылка при этом ведет на поддельный сайт, где злоумышленники просят ввести Apple ID и пароль, а затем крадут эти данные и используют их в своих целях.

Вот один из примеров мошеннического письма, содержащего ссылку на фишинговый ресурс:

 

Как видите, мошенники неплохо поработали– письмо написано достаточно грамотным официальным языком, а в качестве отправителя указан поддельный адрес service@apple.com. На самом деле письмо отправлено с другого адреса, скрытого от получателя. И при наведении курсора на размещенную в письме ссылку, можно увидеть, что ведет она совсем не на apple.com.

Вот еще один пример фишингового письма, его авторы выдают себя за службу поддержки компании Apple:

 

Составители этого письма-ловушки подошли к делу еще более обстоятельно: добавили фон с логотипом Apple, ссылку на FAQ и даже подписались как «Apple Customer Support». Подделку выдает только обезличенное обращение в начале письма.

Страница, на которую в итоге переходит получатель таких фишинговых писем, как правило, весьма умело копирует страницы официального сайта Apple, а все содержащиеся на этой странице ссылки редиректят на страницы apple.com.

 
Примеры фишинговых страниц, красным подчеркнуты реальные домены и уловки злоумышленников

В приведенных нами примерах мошенников выдает адресная строка: она может содержать «apple.com» в том или ином виде, но опытный пользователь без труда опознает подделку. Однако если сайт открыт в мобильном браузере Safari на iPhone или iPad, пользователь может не обратить внимания на адресную строку, поскольку та скрывается из вида сразу после загрузки страницы. Также мошенники могут добавить на страницу дополнительный элемент (например, картинку), изображающий адресную строку с легитимным адресом. Этот элемент, предназначенный для введения пользователя в заблуждение, займет место реальной адресной строки.

А вот как выглядит поддельная страница, с помощью которой злоумышленники пытаются  украсть данные вашей банковской карты под предлогом привязывания ее к Apple ID:

 

Как видите, мошенники не мелочатся и требуют у пользователя всю возможную информацию, от номера карты до CVC. С помощью этих данных они, по сути, смогут совершать с картой любые операции.

Для того чтобы обезопасить свой аккаунт, вы можете подключить двухэтапную проверку для Apple ID, включающую регистрацию одного или нескольких доверенных устройств. Впоследствии на эти устройства будут передаваться четырехзначные коды подтверждения. В результате двухэтапная проверка исключает возможность несанкционированного доступа или внесения изменений в вашу учетную запись на сайте Мой Apple ID и предотвращает совершение покупок посторонними с помощью вашей учетной записи. Однако это не убережет вас от потери денег, если вы сами передали мошенникам данные своей банковской карты. Поэтому, если вам пришло письмо от имени компании  Apple или ее сотрудников, будьте бдительны: не лишним будет позвонить в службу технической поддержки Apple и убедиться в легитимности письма. Кроме того, не стоит переходить по присланной ссылке, лучше сами вбейте нужный адрес в адресной строке. А если вы все же перешли по ссылке на сайт, внимательно изучите его содержимое, проверьте адрес страницы в соответствующей строке браузера.  Соблюдение этих нехитрых правил поможет вам не стать жертвой мошенников и сохранить свои данные в неприкосновенности.

Яблоко развода

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике