Kolejny atak phishingowy na użytkowników Apple

Kupując sprzęt firmy Apple, niezależnie czy jest to komputer, tablet czy telefon, użytkownik ma możliwość założenia Apple ID, będącego swego rodzaju legitymacją, pozwalającą na zakupy w sklepie, przenoszenie danych na inne urządzenia i tworzenie kopii zapasowych, a także zablokowanie urządzenia jeżeli dojdzie do jego kradzieży. Jak podaje serwis Bleeping Computer[1]trwa właśnie kampania phishingowa, w której atakujący próbują wyłudzić dane logowania. Wszystko zaczyna się od typowej fałszywej wiadomości, jak ta zaprezentowana poniżej:

Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/

Już na pierwszy rzut oka można rozpoznać, że mamy do czynienia z phishingiem. W nagłówku widać domenę nie skojarzoną z Apple, brak jakichkolwiek logotypów i treści typowych dla Apple, ot jedno zdanie informujące, że szczegóły znajdują się w załączniku. Jak nietrudno zgadnąć, nie będzie to prawdziwy dokument PDF z potwierdzeniem dokonania płatności.

Atakujący stosują jednak powszechny w tego typu atakach zabieg – próbują przekonać użytkownika, że zakupił aplikację/przedmiot, co oczywiście nie miało miejsca. Jednym z odruchów w takiej sytuacji jest chęć sprawdzenia czy to nie pomyłka. Jeżeli ktoś zadziała w taki sposób, może ryzykować utratę danych.

Poniżej widać zawartość załącznika. Znajdują się tam odnośniki, sugerujące możliwość kontaktu, jeżeli zakup nie był dokonywany przez odbiorcę:

Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/

Kliknięcie odnośnika prowadzi do fałszywej witryny, gdzie po podaniu danych użytkownik zostaje poinformowany o zablokowaniu Apple ID ze względów bezpieczeństwa i konieczności podania dużo bardziej szczegółowych informacji na swój temat:

Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/
Źródło: https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/

Informacje uzyskane w ten sposób mogą posłużyć do otwarcia m.in. konta w banku. Mimo, że kampania nie uderza bezpośrednio w polskich internautów (chociażby przez konieczność podania Social Security Number, którego w naszym kraju po prostu nie ma), nie oznacza to, że w niedalekiej przyszłości kampania nie zostanie dostosowana do innych rejonów (a takie sytuacje już miały miejsce w przeszłości).

Jak zawsze w przypadku phishingu, należy zwracać uwagę na nadawcę, ale nie tylko poprzez sprawdzenie domeny, z której został wysłany mail (to można łatwo sfałszować), ale sprawdzenie szczegółowego widoku nagłówka, co da nam możliwość rozpoznania niebezpiecznej wiadomości. Dodatkowo w przypadku przekierowania na strony, trzeba upewnić się czy posiada stosowny certyfikat i czy jest to witryna, na której faktycznie chcemy być.

[1]https://www.bleepingcomputer.com/news/security/widespread-apple-id-phishing-attack-pretends-to-be-app-store-receipts/