Kupując sprzęt firmy Apple, niezależnie czy jest to komputer, tablet czy telefon, użytkownik ma możliwość założenia Apple ID, będącego swego rodzaju legitymacją, pozwalającą na zakupy w sklepie, przenoszenie danych na inne urządzenia i tworzenie kopii zapasowych, a także zablokowanie urządzenia jeżeli dojdzie do jego kradzieży. Jak podaje serwis Bleeping Computer[1]trwa właśnie kampania phishingowa, w której atakujący próbują wyłudzić dane logowania. Wszystko zaczyna się od typowej fałszywej wiadomości, jak ta zaprezentowana poniżej:
Już na pierwszy rzut oka można rozpoznać, że mamy do czynienia z phishingiem. W nagłówku widać domenę nie skojarzoną z Apple, brak jakichkolwiek logotypów i treści typowych dla Apple, ot jedno zdanie informujące, że szczegóły znajdują się w załączniku. Jak nietrudno zgadnąć, nie będzie to prawdziwy dokument PDF z potwierdzeniem dokonania płatności.
Atakujący stosują jednak powszechny w tego typu atakach zabieg – próbują przekonać użytkownika, że zakupił aplikację/przedmiot, co oczywiście nie miało miejsca. Jednym z odruchów w takiej sytuacji jest chęć sprawdzenia czy to nie pomyłka. Jeżeli ktoś zadziała w taki sposób, może ryzykować utratę danych.
Poniżej widać zawartość załącznika. Znajdują się tam odnośniki, sugerujące możliwość kontaktu, jeżeli zakup nie był dokonywany przez odbiorcę:
Kliknięcie odnośnika prowadzi do fałszywej witryny, gdzie po podaniu danych użytkownik zostaje poinformowany o zablokowaniu Apple ID ze względów bezpieczeństwa i konieczności podania dużo bardziej szczegółowych informacji na swój temat:
Informacje uzyskane w ten sposób mogą posłużyć do otwarcia m.in. konta w banku. Mimo, że kampania nie uderza bezpośrednio w polskich internautów (chociażby przez konieczność podania Social Security Number, którego w naszym kraju po prostu nie ma), nie oznacza to, że w niedalekiej przyszłości kampania nie zostanie dostosowana do innych rejonów (a takie sytuacje już miały miejsce w przeszłości).
Jak zawsze w przypadku phishingu, należy zwracać uwagę na nadawcę, ale nie tylko poprzez sprawdzenie domeny, z której został wysłany mail (to można łatwo sfałszować), ale sprawdzenie szczegółowego widoku nagłówka, co da nam możliwość rozpoznania niebezpiecznej wiadomości. Dodatkowo w przypadku przekierowania na strony, trzeba upewnić się czy posiada stosowny certyfikat i czy jest to witryna, na której faktycznie chcemy być.
[1]https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
