Мошенники стали наживаться на уходе Apple из России — предлагают пополнить Apple ID и не только

Компания Group-IB, работающая в сфере информационной безопасности, обнаружила новые мошеннические схемы кражи денег, данных банковских карт и учётных записей Apple под предлогом оплаты и использования сервисов App Store, Apple Pay и iTunes. За два года специалисты компании выявили свыше 5 тыс. доменов в зоне .RU, используемых для фишинговых атак на россиян с целью получения доступа к iPhone и сервисам Apple.

Источник изображения: Pixabay

После прекращения работы в России платёжной системы Apple Pay и появления сложностей с оплатой в App Store и iTunes злоумышленники начали использовать новые схемы для кражи денег, данных банковских карт и учётных данных Apple ID. Например, что злоумышленники стали предлагать пользователям пополнить счёт в App Store и iTunes посредством покупки виртуальных карт номиналом 1000 рублей, 2500 рублей, 5000 рублей, 5500 рублей и 6000 рублей.

Речь идёт о картах App Store & iTunes Gift Card, которые дают возможность пополнения счёта аккаунта и приобретения контента в магазинах Apple. Но мошенники, конечно же, ничего на самом деле не продают. При покупке кода такой карты у нечестного продавца пользователь передаёт адрес электронной почты, а при оплате — данные банковской карты. В итоге эти данные и деньги пользователя попадают в руки мошенников.

Ещё одна схема строится на основе предложения вернуть возможность оплаты товаров и услуг с помощью платёжной системы Apple Pay. Пользователю отправляется фишинговая ссылка на «сервис iCloud», который используется для кражи данных. Если пользователь вводит на этой странице свои данные Apple ID, то мошенники получают доступ к его iCloud, App Store, Apple Music, iMessage, FaceTime.

Мошенники также используют схему обмана людей, которые недавно лишились своего iPhone, например, если смартфон был украден или утерян. Такому пользователю от имени службы поддержки Apple отправляются фейковые SMS-сообщения, в которых говорится о том, что устройство было включено и удалось обнаружить его местоположение. На деле же пользователь получает фишинговую ссылку на ресурс, имитирующий приложение Find My iPhone. Внимательно изучив присылаемые мошенниками ссылки можно обнаружить подмену. Например, легитимный сервис Apple находится по ссылке https://www.icloud.com/, а мошенники предлагают перейти на ресурс по адресу https://www.icioud.com/. После перехода по фишинговой ссылке предлагается ввести данные Apple ID, в результате чего злоумышленники получают доступ к данным пользователя, включая файлы, хранящиеся в iCloud.

Мошенники также могут контактировать с жертвой по телефону или через мессенджер. Злоумышленник сообщает, что купил или нашёл iPhone, после включения которого увидел номер старого владельца. В ходе общения он пытается узнать пароль для разблокировки устройства, которое якобы «превратилось в кирпич». Если пользователь сообщает пароль, то общение тут же прекращается.

За последние два года специалисты центра реагирования на инциденты информационной безопасности CERT-GIB обнаружили в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей. Всего же в мире на данную тематику создано не менее 176 тыс. фейковых доменов, предназначенных для кражи данных. Отмечается, что схема мошенничества хорошо автоматизирована. Например, стоимость скрипта для фишинговых атак на iCloud составляет от $100 до $150, а неделя аренды мульбрендовой фишинговой панели — $500. Мошеннику лишь остаётся отправлять ссылки жертвам, а украденные данные автоматически перенаправляются в Telegram-бот.