E-mail od Apple w sprawie Spotify? Uwaga na nowy atak!

Phishing to rodzaj ataku, w którym nadawca próbuje podszyć się pod znaną instytucję lub firmę, a następnie przekonać ofiarę do podania (najczęściej) loginu i hasła do konkretnego serwisu lub usługi. W omawianym dzisiaj przypadku atakujący podszywa się pod firmę Apple i częściowo Spotify, sugerując, że użytkownik wykupił roczną subskrypcję[1] serwisu streamingowego. Poniżej widoczna jest wiadomość, którą pierwotnie opublikowano na Reddicie:

Źródło: https://www.dailymail.co.uk/sciencetech/article-6294633/Fake-emails-targeting-iPhone-users-claim-Spotify-iTunes.html
Źródło: https://www.dailymail.co.uk/sciencetech/article-6294633/Fake-emails-targeting-iPhone-users-claim-Spotify-iTunes.html

Aby dowiedzieć się więcej na temat subskrypcji użytkownik musi kliknąć hiperłącze „review your subscription”. Biorąc pod uwagę, że e-mail jest dość dobrze przygotowany, to korzystając z elementu zaskoczenia, niektórzy odbiorcy mogą zechcieć sprawdzić dlaczego aktywowano usługę bez ich wiedzy…

Źródło: https://www.dailymail.co.uk/sciencetech/article-6294633/Fake-emails-targeting-iPhone-users-claim-Spotify-iTunes.html
Źródło: https://www.dailymail.co.uk/sciencetech/article-6294633/Fake-emails-targeting-iPhone-users-claim-Spotify-iTunes.html

Jak widać na powyższym obrazku, po kliknięciu wspomnianego hiperłącza, użytkownik zostaje przeniesiony na fałszywą stronę, na której zostaje poproszony o Apple ID oraz hasło. W ten sposób atakujący może przejąć dane logowania i uzyskać dostęp do danych użytkownika, zdjęć, filmów i notatek.

Warto tutaj przypomnieć o zaletach stosowania dwuskładnikowego uwierzytelniania. Nawet jeżeli ktoś uzyska nasz login i hasło, to będzie musiał dodatkowo potwierdzić logowanie z nowego urządzenia np. SMS-em lub potwierdzeniem komunikatu na innym urządzeniu powiązanym z Apple ID. Dodatkowo hasło do konta powinno być unikatowe, złożone z małych i dużych liter, cyfr oraz znaków specjalnych.

Należy także dokładnie sprawdzić nagłówek wiadomości, by poznać prawdziwego nadawcę. Zawsze przy okazji logowania powinno się również sprawdzać witrynę, czy posiada ważny i adekwatny certyfikat.

[1] https://www.dailymail.co.uk/sciencetech/article-6294633/Fake-emails-targeting-iPhone-users-claim-Spotify-iTunes.html