Кибер-мошенники нацелены айфон пользователи, у которых украли телефоны с помощью новой аферы, предназначенной для кражи данных для входа в iCloud.
Как будто кражи вашего iPhone было недостаточно, хакеры обманом заставляют жертв кражи телефона отказаться от своих учетных данных Apple ID, предоставляя им доступ к своим личным данным.
Пользователи iPhone пострадали от очень убедительной фишинговой аферы (Изображение: ПА)
Многие пользователи Apple сообщили, что их обманули в сети, в том числе один незадачливый человек Йонас Киминки, который подробно рассказал, насколько убедительной может быть фишинговая афера. в Хакернуне.
После того, как во время отпуска у него из машины украли iPhone, Киминки сделал очевидную вещь: позвонил на свой телефон с телефона жены. Но, как и ожидалось, его отключили.
лучший отбеливатель для волос
Затем он пометил телефон как «потерянный» в приложении «Найти мой iPhone», которое информирует пользователей, если телефон был найден. Он ввел текст, который будет отображаться на телефоне на случай, если он когда-нибудь снова включится, и нажал все флажки «Отправить мне по электронной почте, когда телефон вернется в онлайн».
Приложение «Найти iPhone» помогает пользователям находить потерянные устройства iOS. (Изображение: яблоко)
«Никто не мог получить доступ к моим данным на телефоне, и, поскольку он подключен к моей учетной записи iCloud, другие не могут повторно активировать телефон для себя», — сказал он.
Позже я купил новый телефон, но вот вчера - через одиннадцать дней после того, как телефон был украден - произошло самое интересное: мне пришло смс и электронное письмо с уведомлением о том, что телефон найден!
Подлинно выглядящий поддельный вход в iCloud с незашифрованным веб-адресом (Изображение: Хакермун)
В SMS и электронном письме содержалась ссылка, по которой Киминки мог щелкнуть, чтобы показать ему местонахождение его потерянного iPhone. Ссылка открыла аутентичный экран входа в iCloud.
10-летняя девочка рожает
Я конечно бросился по адресу по ссылке и потом начал вводить свои учетные данные, но потом вдруг остановился. Что-то было просто не так, сказал он
Он объяснил, что, поскольку он работает в компании, занимающейся созданием веб-сайтов, он смог обнаружить явные признаки взлома, которые обычный человек не заметит.
Я почти уверен, что многие люди просто ввели бы свой Apple ID и пароль и только потом задались бы вопросом, почему вход в систему не работает, добавил он.
Сценарий поддельного входа в iCloud показывает, что на самом деле это не Apple
холлиокс гарри и джеймс
Поскольку он смог определить, что электронная почта и SMS не были подлинными, ему также удалось избежать кражи его учетных данных.
Итак, каковы явные факторы этой так называемой фишинговой атаки? Во-первых, ссылка привела Киминки на сайт с адресом show-iphone-location.com — не очень официальное звучание. Он также не был зашифрован, как настоящая страница Apple.
Копнув глубже, Киминки заметил, что электронное письмо тоже было не от Apple, а от icloud.insideappleusa@gmail.com, зарегистрированного не на Apple, а на компанию в Нассау.
По словам Киминки, вы не можете активировать iPhone или любое другое устройство iOS, если оно подключено к чьей-либо учетной записи iCloud.
Том Круз и Кэти Холмс
«Однако, когда вы крадете телефон, вы можете усовершенствовать преступление, украв личность бедолаги».
Затем хакерам просто нужно войти в «Найти мой iPhone», отвязать учетную запись от устройства и бум — у них разблокированный телефон.
хакеры могут использовать приложение «Найти телефон», поскольку эта функция не использует двухэтапную проверку (Изображение: Гетти)
Это не совсем новая идея — было несколько случаев использования этого мошенничества против пользователей. Аналогичная атака был опубликован пользователем на Reddit еще в апреле .
Эксперт по безопасности Грэм Клули сказал что хакеры могут использовать приложение «Найти мой телефон», потому что, в отличие от iCloud, эта функция не использует двухэтапную проверку, чтобы дважды проверить подлинность тех, кто обращается к услуге.
Комментируя тот же взлом, который использовался на аспирант компьютерных наук в Университете Ватерлоо , Клули сказал: «Если бы был еще один шаг входа в систему, такой как секретный вопрос безопасности, злоумышленник не смог бы почти стереть свои устройства.
Пользователи должны защищать свои идентификаторы Apple ID, а также все свои учетные записи в Интернете с помощью надежного пароля и двухэтапной проверки, если и когда она доступна.
Индустрия безопасности надеется Яблоко представит двухэтапную проверку для функции «Найти iPhone» после того, как в сети появились сообщения о нескольких таких фишинговых атаках.
Несмотря на очень закрытый характер своего программного обеспечения, технический гигант, наконец, начинает понимать, что он не застрахован от компьютерная безопасность уязвимости.
На прошлой неделе фирма впервые согласилась предоставить исследователям безопасности доступ к своему программному обеспечению.
В настоящее время компания предлагает вознаграждение в размере 200 000 долларов США (152 000 фунтов стерлингов) — программу поощрения, которая предлагает вознаграждение за обнаружение и отправку уязвимостей и уязвимостей в системе безопасности.
рошель и марвин хьюмс
Другие технологические фирмы, такие как Google и Microsoft, уже некоторое время предлагают такие вознаграждения для повышения уровня безопасности в Интернете. Хотя, возможно, чтобы наверстать упущенное, единовременная выплата Apple кажется самой высокой корпоративной наградой за всю историю.
загрузка опроса
