App strore i iTunes ze względu na swoją popularność i miliardy pobranych aplikacji i plików muzycznych cieszą się zainteresowaniem, również wśród cyberprzestępców. Najnowszy przypadek phisingu wykrytego w iTunes to nic innego jak email rzekomo wysłany przez firmę Apple. Pod koniec roku 2011, Sophos zbadał blisko 15 000 celowo błędnie wpisanych domen sześciu marek. Nazwa Apple stanowiła 86 proc. wszystkich błędnych sformułowań dla domen, co unaocznia kierunki działań cyberprzestępców.

Oszuści zdają sobie sprawę, że losowy spam, może trafić do użytkownika Apple, dlatego starają się przekonać w danej wiadomości, że inna osoba używała ich konta do opłaty za utwory muzyczne czy aplikacje. Dlatego warto zapoznać się z poniższą anatomią phisingu na iTunes:

Oszuści mają nadzieję, że ofiara kliknie na link w phisingowej wiadomości:


Fałszywy Apple Store

W momencie kliknięcia na link, w którym będą wyświetlone rzekome szczegóły transakcji, użytkownik zostanie przeniesiony do strony internetowej butiku sprzedającego perfumy. Cyberprzestępca wykorzystał legalny WordPress do zaimplementowania własnej treści i wykorzystania istniejącej domeny do nielegalnych celów. Dana strona w WordPress następnie przekierowuje użytkownika na stronę phisingową, która wizualnie przypomina stronę startową firmy Apple.


Na jakie elementy zwrócić szczególną uwagę:

  • Brak URL firmy Apple, które w dodatku prosi o dostęp do poufnych informacji.
  • Niezgodność w czynnikach wizualnych, prawdopodobnie z powodu niedokładnego kopiowania logotypów i elementów strony takich jak ,,Potwierdzenie zakupu”.
  • Pojawienie się pytań, które zazwyczaj nie są zadawane, nawet podczas zwykłej transakcji płatniczej, takie jak: nazwisko panieńskie matki, limit karty kredytowej etc.

Fałszywy ekran VISA

Jeśli użytkownik uwierzył oszustom i zaszedł, tak daleko, istnieje duże prawdopodobieństwo, że utracił znaczną cześć danych osobowych. Są one potrzebne cyberoszustom do nakłonienia użytkownika do weryfikacji tożsamości w procesie płatniczym przez pominięcie SucureCodu.

SecureCode jest wtórnym systemem uwierzytelniania, używanym wielu typach transakcji, które wymagają weryfikacji użytkownika kart płatniczych w separacji od sprzedawcy. Konsument przedstawia hasło bezpośrednio operatorowi co dodatkowo zabezpiecza transakcję.


Fałszywa strona SucureCodu wygląda tak:

Wszystko tutaj jest błędne, SecureCode nie jest wtórnym krokiem sprzedawcy jako prekursora transakcji. Jest oddzielnym etapem wszczętym przez organizację płatniczą.

W tym przypadku oczywiście, użytkownik nie powinien widzieć walidację SecureCode, ponieważ nie jest zaangażowany w płatność. Użytkownik w tym momencie użytkownik został zaangażowany w transakcję, która już została przetworzona.


Kolejny krok…

W tym momencie użytkownik ma kłopot, ponieważ oszuści uzyskali dane karty płatniczej Plus hasło SecureCode plus wystarczająco wiele danych aby zadzwonić do banku i przedstawić się w imieniu ofiary. Jeśli uda im się to zrobić, mogą przekierować wyciągi, zmieniać numer telefonu autoryzacji i uwierzytelniania dwuskładnikowego, a nawet zablokować dostęp do konta.


Strona jest wykonana w sposób wizualnie podobny jednak, użytkownik nie powinien akceptować żadnych działań na witrynie nie posiadającej prawidłowego kodu URL firmy Apple i protokołu bezpieczeństwa HTTPS.


Jeśli użytkownikowi do tego momentu nie zapaliło się czerwone światełko ostrzegawcze, to ostatni etap procesu, powinien wybudzić go z letargu. Nagle spogląda na URL, który wygląda tak jakby należał do Apple, ponadto używa protokołu HTTPS. Co więcej witryna zawiera kilka małych, ale widocznych różnic wizualnych. Jeśli konsument, wykaże wystarczająco dużo spostrzegawczości może bez problemu uniknąć groźby utraty ważnych danych osobowych, a także numerów kart płatniczych.

Chcecie blokować za darmo wiadomości phisningowe? Zainstalujcie Sophos UTM Home Edition, radzi Sophos.

źródło: Sophos

Kan