Μια νέα καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) δεν βασίζεται σε απλή πλαστογράφηση διεύθυνσης, με τους χάκερ να χρησιμοποιούν ένα πραγματικό email της Apple για να υποκλέψουν μια ψεύτικη αγορά iPhone και να πιέσουν τον στόχο να καλέσει μια ψεύτικη εξυπηρέτηση πελατών, γεγονός που ενισχύει σημαντικά την αξιοπιστία της παγίδας.
Χάκερ εκμεταλλεύονται το κανάλι ειδοποιήσεων της Apple
Ο πυρήνας της επίθεσης έγκειται στη μέθοδο αποστολής. Το email όντως προέρχεται από τη διεύθυνση appleid@id.apple.com, περνάει από την υποδομή της Apple και περνάει τους ελέγχους SPF, DKIM και DMARC, πράγμα που σημαίνει ότι δεν είναι πλαστογραφημένο email.
Οι απατεώνες δεν παραποιούν την ειδοποίηση, αλλά την ενεργοποιούν. Για να το κάνουν αυτό, δημιουργούν έναν λογαριασμό Apple, εισάγουν το ψευδές κείμενό τους στα πεδία προσωπικών πληροφοριών (όνομα, επώνυμο κ.λπ.) και, στη συνέχεια, τροποποιούν τις πληροφορίες παράδοσης, έτσι ώστε η Apple να στείλει μια ειδοποίηση αλλαγής λογαριασμού.
Η παγίδα λειτουργεί επειδή η Apple επαναχρησιμοποιεί τα πεδία ονόματος και επωνύμου που εισάγει ο χρήστης στις ειδοποιήσεις της. Το ψεύτικο μήνυμα σχετικά με μια αγορά iPhone αξίας 899 δολαρίων μέσω PayPal, μαζί με έναν αριθμό τηλεφώνου για κλήση, ενσωματώνεται έτσι απευθείας σε ένα νόμιμο email, όπως φαίνεται σε ένα στιγμιότυπο οθόνης από το BleepingComputer .
Μια απάτη ανάκλησης που κερδίζει αξιοπιστία
Ο στόχος δεν είναι απλώς να εκφοβιστεί το θύμα. Καλώντας τον εμφανιζόμενο αριθμό, το θύμα μπορεί να εξαπατηθεί ώστε να εγκαταστήσει λογισμικό απομακρυσμένης πρόσβασης ή να μεταδώσει οικονομικές πληροφορίες, δύο κλασικές τακτικές που χρησιμοποιούνται σε δόλιες καμπάνιες επανάκλησης.
Αυτός ο τύπος πρόσβασης έχει ήδη χρησιμοποιηθεί σε άλλες επιχειρήσεις για την κλοπή κεφαλαίων, την ανάπτυξη κακόβουλου λογισμικού ή την κλοπή δεδομένων. Εδώ, ο κίνδυνος αυξάνεται από το γεγονός ότι το email φαίνεται τεχνικά άψογο, καθώς στην πραγματικότητα προέρχεται από τα συστήματα της Apple.
Η ανάλυση των κεφαλίδων υποδηλώνει επίσης μια ευρύτερη κατανομή. Ο αρχικός παραλήπτης διαφέρει από την τελική διεύθυνση, γεγονός που υποδηλώνει την πιθανή χρήση μιας λίστας αλληλογραφίας για την προσέγγιση πολλαπλών στόχων, ακολουθώντας ένα μοτίβο που είχε παρατηρηθεί προηγουμένως με παραβιασμένες προσκλήσεις για ημερολόγια iCloud .
Τα προειδοποιητικά σημάδια παραμένουν τα ίδια. Οποιαδήποτε απροσδόκητη ειδοποίηση που αναφέρει μια μη αναγνωρισμένη αγορά ή ζητά να καλέσετε την εξυπηρέτηση πελατών θα πρέπει να αντιμετωπίζεται με προσοχή, ειδικά εάν δεν έχουν γίνει πρόσφατες αλλαγές στον λογαριασμό.
