«Белые хакеры» нашли сервис массовой разблокировки iPhone — он собирает пароли и «отвязывает» технику от iCloud

Им пользуется в том числе и московская фирма, уверены хакеры.

«Фишеры» выстроили систему для кражи «десятков тысяч» аккаунтов iCloud по всему миру. Они обманом вынуждают пользователей раскрыть свои логины и пароли. О схеме vc.ru рассказал «белый хакер» Link, который находит уязвимости в сервисах компаний вроде PayPal, и его команда.

Программу для выманивания паролей создал неизвестный разработчик и продаёт её по $60. С помощью неё можно, например, самому разблокировать iPhone и другие устройства или продавать такие услуги. Среди тех, кто пользовался услугами разработчика, есть и московская компания, говорят хакеры.

Как «белые хакеры» вышли на фишеров

О ситуации стало известно случайно: летом 2021 года на фестивале у нескольких человек украли iPhone, в том числе у знакомого Link. Как рассказал этот знакомый vc.ru, через три-четыре дня после потери он стал получать на другое устройство сообщения якобы от центра поддержки Apple.

В сообщении говорилось, что его iPhone нашёлся, его передадут в Apple Store. Чтобы получить устройство обратно, нужно заполнить форму возврата по ссылке.

Пример сообщения Скриншот одного из пользователей
Пример сообщения Скриншот одного из пользователей

«Кроме сообщений робот начинает названивать — мог позвонить несколько раз за день», — рассказывает собеседник. По ссылке — похожая на сайт Apple страница. Там пользователь должен ввести логин и пароль от своего iCloud, а затем код для двухфакторной аутентификации.

Как только вводишь код, система автоматически отвязывает iCloud от устройства, объясняет он. Пользователь не стал вводить свои данные, а вместо этого решил найти злоумышленников.

С помощью сервиса Whois ему удалось разыскать владельца домена — им оказался человек якобы из Ганы. «Написал ему, скинул ссылку на сайт и сказал, что хочу такой же для разблокировки iPhone, попросил помочь сделать», — рассказывает собеседник.

Человек из Ганы дал контакты другого человека, который предлагает сервис для разблокировки устройств с помощью фишинга — эта программа стоит $60. Из переписки выяснилось, что среди его клиентов — три-четыре находятся в Москве. Сайт, на который пользователь изначально перешёл из SMS, принадлежит как раз одному из них — собеседнику удалось получить его контакт.

«Эти контакты легко найти в гугле», — говорит пользователь. Так он вышел на московскую фирму, которая занимается разблокировкой устройств для частных лиц и компаний. Собеседник уверен, что эта фирма связана с фишинговым сайтом, на который он попал в самом начале.

Как работает схема и сколько пострадавших

«Например, у меня оказался ваш смартфон с номером телефона и программа для его разблокировки. Я ввожу ваш номер, а вы получаете SMS о том, что ваше устройство нашли», — объясняет Link. После того, как пользователь перешёл на фейковый сайт из SMS, ввёл логин и пароль и прошёл двухфакторную аутентификацию, бот отвяжет аккаунт от iCloud.

После этого бот отправляет злоумышленнику сообщение в Telegram. В нём есть все данные пользователя: модель разблокированного устройства, страна, город, IMEI, IP и другие.

Понять, как работает бот, получилось благодаря уязвимости на фишинговом сайте, на который перешёл знакомый Link в самом начале. Она позволила обнаружить токен — ключ для доступа к общему аккаунту в Telegram, продолжает Link. С этого аккаунта боты и рассылали сообщения об успешном или неуспешном взломе устройства. Хакер с командой «слил» себе из него все сообщения — в дампе больше 50 тысяч записей.

Там же хакеры нашли группу в Telegram, в которой пользователи, купившие программу, обмениваются информацией. В ней «сидят» около 200 человек, в том числе продавец сервиса.

В итоге получается такая схема: создатель программы для создания фишингового сайта и кражи данных от iCloud продаёт доступ к нему по всему миру по $60. После этого покупатели или сами занимаются разблокировкой устройств, или создают сайты с услугами по разблокировке и продают их тем, кто занимается скупкой или кражей заблокированных устройств.

По словам Link, по миру может быть около 300 таких фейковых страниц, которые были созданы с помощью сервиса. По его прикидкам, пострадавших может быть больше 10 тысяч.

Хакер обратился в службу безопасности Apple, которая принимает отчёты об уязвимостях, чтобы рассказать о схеме и массовой утечке паролей. Но в компании отписывались «дежурными фразами» и вместо базы просили предоставить данные об уязвимости, говорит Link.

По его словам, после нескольких писем там всё-таки обещали провести проверку. Но какой-то дополнительной информацией компания делиться не будет, поскольку под программу bug bounty информация не попадает, добавил хакер.

Что делать при потере устройства

«Если вы нашли iPhone и не хотите его возвращать по каким-то причинам, вы можете сдать его в какой-нибудь ларёк на рынке перекупщикам и получить условные 5000 рублей или самому разблокировать с помощью такого сайта и получить при продаже “чистого” устройства гораздо больше», — говорит Link.

На сайте Apple сказано, что при потере устройства его можно удалённо заблокировать, чтобы помешать перепродать. Для активации понадобится Apple ID и пароль.

Также можно перевести устройство в режим пропажи: он активирует отслеживание геопозиции, отправляет уведомление при включении и устанавливает код-пароль. В этом режиме пользователь может указать свои контакты, чтобы нашедший смог с ним связаться. Но это не защитит от фишинга. По словам Link, при потере iPhone или любого другого устройства нужно обращаться в полицию.

В Apple также советуют пользователям при получении подозрительных писем якобы от имени компании пересылать их по адресу reportphishing@apple.com. Если пользователь подозревает, что его идентификатор Apple ID был взломан или если он ввёл свой пароль или другую личную информацию на мошенническом сайте, нужно сменить пароль идентификатора Apple ID.

2929
27 комментариев

ого фишинг никогда такого небыло что-то новенькое да уж вот это расследование

15

В самой Москве пользуются услугами, о как

8

+100500, реально сенсационно! Новая разработка страшных русских хакеров - фишинг! Никогда такого не было и вот опять!

3

Обычный фишинговый сервис.

И они хотят сказать, что чел, который додумался все это создать не додумался скрыть данные во whois фишингового сайта? Да еще и реальные данные? Это как тупые воры, которые оставляют свои реквизиты на месте преступления.

6

Комментарий удалён модератором

Новому владельцу как раз ничего не будет, тк он будет вводить уже свои данные в него. Статья про то, что бывшие владельцы при этом утрачивают его из своего профиля Apple. Фактически на руки получают «чистое устройство». А значит его и продать можно дороже, как просто б/у аппарат.

2