A csapda az "iPhone megtalálása" üzenet mögött egy rablás után, a WeLiveSecurity

üzenet

Elemezzük egy olyan adathalászat konkrét esetét, amely SMS-ben éri el az iPhone-lopás áldozatát, amely az iCloud hitelesítő adatok és a feloldó kulcs ellopására törekszik.

Lehet, hogy ez csak egy rendőri krónika, ami egy mobiltelefon egyszerű lopása volt a közutakon, és nem felelne meg azoknak a kérdéseknek, amelyekkel általában a számítógépes biztonság miatt foglalkozunk. Valami különös dolog történt azonban egy iPhone ellopása után egy ismerősével, aki néhány órán belül eléri telefonszámát, amelyet már aktivált egy másik eszközön, egy SMS, amely tájékoztatja Önt arról, hogy megtalálta az iPhone készülékét.

Csalárd SMS-üzenet, amely eléri az áldozatot, jelezve, hogy az iPhone-ját megtalálták

A döbbenet és az öröm keveréke előtt az áldozat nem vette észre, hogy az a cím, amelyhez az üzeneten keresztül hozzáférést kapott, egyáltalán nem felel meg az Apple hivatalos webhelyének, hanem közvetlenül egy hamis webhelyre vezette, amely legyen a cég hivatalos oldala, és ahol megkérték, hogy adja meg felhasználói hitelesítő adatait.

A hamis iCloud-oldal az áldozat bejelentkezési adatainak ellopására törekszik

Amint az a képen látható, az URL-ben megjelenő domain nem felel meg egy hivatalos webhelynek, annak ellenére, hogy hasonló megjelenésű és ismert szavakkal igazat adnak a megtévesztésnek, és hogy az áldozat csapdába esik. Sajnos az a személy, aki ezt az eseményt végrehajtotta, csapdába esett, és ezért elemzés céljából elküldte az üzenetet az ESET laboratóriumának. Ehhez meg kellett változtatnunk a link utolsó karaktereit, hogy elérjük az aktív oldalt, ami azt mutatja, hogy az egyes eszközök lopásának áldozatainak egyedi linkeket küldenek, és igyekeznek fokozottabban figyelemmel kísérni az egyes lehetséges áldozatokat.

A hamis webhely nem érvényesül, ha a megadott hitelesítő adatok helyesek

Az oldal egyetlen célja a hitelesítő adatok ellopása, mivel amint az az előző képen is látható, bármilyen információ beírásakor a webhely nem érvényesíti, ha a megadott hitelesítő adatok helyesek, hanem éppen ellenkezőleg, felkéri a felhasználót, hogy építse be a mobiltelefon feloldó gombját.

A hamis webhely arra kéri az áldozatot, hogy adja meg az eszköz feloldó kulcsát.

Ismét elemzésként bevezetünk bármilyen kódot, tisztázva, hogy minden gyanútlan áldozat, aki erre az esetre érkezik, már megadta az iCloud hitelesítő adatait és a mobiltelefon feloldó kulcsát, és az elemzés meglepetésére (és a helyzetre, amely a ennek az esetnek az áldozata, hogy rájöjjön, hogy adathalászatról volt szó) az oldal a Google Maps egyik helyére irányul.