Исследователь безопасности Брайан Кребс рассказал о группе мошенников, осуществляющих фишинговые атаки на пользователей Apple iCloud и тесно сотрудничающих с организованной преступностью в США и за их пределами. В своем блоге журналист описал расследование, проведенное одним из его знакомых ИБ-экспертов, пожелавшим сохранить анонимность.
При краже или потере iPhone владельцы устройства могут использовать функцию Find My iPhone для определения его местонахождения и блокировки. Воспользоваться функцией можно на сайте Apple – достаточно лишь ввести свои учетные данные для авторизации в iCloud. По словам Кребса, злоумышленники используют функцию Find My iPhone с целью разблокировки ворованных iPhone и дальнейшей перепродажи.
Некоторое время назад ИБ-эксперт столкнулся с интересной историей. Сын его друга потерял свой iPhone. Через некоторое время друг получил SMS якобы от Apple с просьбой пройти по указанной ссылке, чтобы узнать местонахождение потерянного устройства. Пройдя по ссылке, пользователь попадал на поддельную страницу авторизации iCloud, созданную мошенниками для выманивания учетных данных.
Домен находится на сервере в России, где также расположены порядка 140 других доменов, в основном представляющих собой поддельные страницы авторизации iCloud. Несмотря на то, что домены расположены в РФ, их владельцы могут быть из совершенно другой части света, отметил эксперт. Как показало проведенное им расследование, на самом деле так и есть.
Оператором сервиса по удаленной разблокировке iPhone с помощью фишинга оказался некий Джонатан Родригес (Jonatan Rodriguez). Согласно данным, указанным в его профиле на Facebook, Родригес проживает в Пуэрто-Рико. Данная учетная запись также используется для рекламы сервиса «Remove iCloud» и для администрирования группы iCloud Unlock Ecuador – Worldwide, насчитывающей около 2,8 тыс. участников.