«Белый» хакер с ником Link раскрыл многослойную фишинговую схему, от которой страдают пользователи айфонов.
«Фишеры» выстроили систему для кражи «десятков тысяч» аккаунтов iCloud по всему миру. Они обманом вынуждают пользователей раскрыть свои логины и пароли. О схеме vc.ru рассказал «белый хакер» Link, который находит уязвимости в сервисах компаний вроде PayPal, и его команда.
Программу для выманивания паролей создал неизвестный разработчик и продаёт её по $60. С помощью неё можно, например, самому разблокировать iPhone и другие устройства или продавать такие услуги. Среди тех, кто пользовался услугами разработчика, есть и московская компания, говорят хакеры.
О ситуации стало известно случайно: летом 2021 года на фестивале у нескольких человек украли iPhone, в том числе у знакомого Link. Как рассказал этот знакомый vc.ru, через три-четыре дня после потери он стал получать на другое устройство сообщения якобы от центра поддержки Apple.
В сообщении говорилось, что его iPhone нашёлся, его передадут в Apple Store. Чтобы получить устройство обратно, нужно заполнить форму возврата по ссылке.
«Кроме сообщений робот начинает названивать — мог позвонить несколько раз за день», — рассказывает собеседник. По ссылке — похожая на сайт Apple страница. Там пользователь должен ввести логин и пароль от своего iCloud, а затем код для двухфакторной аутентификации.
Как только вводишь код, система автоматически отвязывает iCloud от устройства, объясняет он. Пользователь не стал вводить свои данные, а вместо этого решил найти злоумышленников.
С помощью сервиса Whois ему удалось разыскать владельца домена — им оказался человек якобы из Ганы. «Написал ему, скинул ссылку на сайт и сказал, что хочу такой же для разблокировки iPhone, попросил помочь сделать», — рассказывает собеседник.
Человек из Ганы дал контакты другого человека, который предлагает сервис для разблокировки устройств с помощью фишинга — эта программа стоит $60. Из переписки выяснилось, что среди его клиентов — три-четыре находятся в Москве. Сайт, на который пользователь изначально перешёл из SMS, принадлежит как раз одному из них — собеседнику удалось получить его контакт.
«Эти контакты легко найти в гугле», — говорит пользователь. Так он вышел на московскую фирму, которая занимается разблокировкой устройств для частных лиц и компаний. Собеседник уверен, что эта фирма связана с фишинговым сайтом, на который он попал в самом начале.
«Например, у меня оказался ваш смартфон с номером телефона и программа для его разблокировки. Я ввожу ваш номер, а вы получаете SMS о том, что ваше устройство нашли», — объясняет Link. После того, как пользователь перешёл на фейковый сайт из SMS, ввёл логин и пароль и прошёл двухфакторную аутентификацию, бот отвяжет аккаунт от iCloud.
После этого бот отправляет злоумышленнику сообщение в Telegram. В нём есть все данные пользователя: модель разблокированного устройства, страна, город, IMEI, IP и другие.
Понять, как работает бот, получилось благодаря уязвимости на фишинговом сайте, на который перешёл знакомый Link в самом начале. Она позволила обнаружить токен — ключ для доступа к общему аккаунту в Telegram, продолжает Link. С этого аккаунта боты и рассылали сообщения об успешном или неуспешном взломе устройства. Хакер с командой «слил» себе из него все сообщения — в дампе больше 50 тысяч записей.
Там же хакеры нашли группу в Telegram, в которой пользователи, купившие программу, обмениваются информацией. В ней «сидят» около 200 человек, в том числе продавец сервиса.
В итоге получается такая схема: создатель программы для создания фишингового сайта и кражи данных от iCloud продаёт доступ к нему по всему миру по $60. После этого покупатели или сами занимаются разблокировкой устройств, или создают сайты с услугами по разблокировке и продают их тем, кто занимается скупкой или кражей заблокированных устройств.
По словам Link, по миру может быть около 300 таких фейковых страниц, которые были созданы с помощью сервиса. По его прикидкам, пострадавших может быть больше 10 тысяч.
Хакер обратился в службу безопасности Apple, которая принимает отчёты об уязвимостях, чтобы рассказать о схеме и массовой утечке паролей. Но в компании отписывались «дежурными фразами» и вместо базы просили предоставить данные об уязвимости, говорит Link.
По его словам, после нескольких писем там всё-таки обещали провести проверку. Но какой-то дополнительной информацией компания делиться не будет, поскольку под программу bug bounty информация не попадает, добавил хакер.
«Если вы нашли iPhone и не хотите его возвращать по каким-то причинам, вы можете сдать его в какой-нибудь ларёк на рынке перекупщикам и получить условные 5000 рублей или самому разблокировать с помощью такого сайта и получить при продаже “чистого” устройства гораздо больше», — говорит Link.
На сайте Apple сказано, что при потере устройства его можно удалённо заблокировать, чтобы помешать перепродать. Для активации понадобится Apple ID и пароль.
Также можно перевести устройство в режим пропажи: он активирует отслеживание геопозиции, отправляет уведомление при включении и устанавливает код-пароль. В этом режиме пользователь может указать свои контакты, чтобы нашедший смог с ним связаться. Но это не защитит от фишинга. По словам Link, при потере iPhone или любого другого устройства нужно обращаться в полицию.
В Apple также советуют пользователям при получении подозрительных писем якобы от имени компании пересылать их по адресу reportphishing@apple.com. Если пользователь подозревает, что его идентификатор Apple ID был взломан или если он ввёл свой пароль или другую личную информацию на мошенническом сайте, нужно сменить пароль идентификатора Apple ID.
