Эксперты Центра реагирования на киберинциденты CERT-GIB, принадлежащего компании Group-IB, предупреждают о появлении новых мошеннических схем для кражи денег, данных банковских карт и учетных записей Apple под предлогом обхода санкций для оплаты и использования сервисов Apple Store, Apple Pay и iTunes. За последние два года Центр обнаружил в зоне RU 5283 фишинговых доменов, нацеленных на российских пользователей, а всего в мире под подобную тематику созданы не менее 176 000 фейковых доменов. Любопытно, что один из пиков регистраций фейковых доменных имен зафиксирован накануне презентации iPhone13 в сентябре 2021 года — аферисты пытались использовать тогда повышенный интерес к бренду.
Санкции и фишинг
Прекращение работы в России системы бесконтактных платежей Apple Pay и сложности с оплатой в сервисах Apple Store и iTunes из-за санкций натолкнули злоумышленников на создание новых схем для кражи денег, данных банковских карт и учетных данных AppleID. Например, сейчас скамеры активно предлагают пользователям пополнить счет в Apple Store и iTunes с помощью специальных виртуальных карт на суммы в 1 000 рублей, 2 500 рублей, 5 000 рублей, 5 500 рублей и 6 000 рублей. Владельцы сервиса уверяют, что карты App Store & iTunes Gift Card дают возможность пополнить счет аккаунта и приобрести якобы «любой виртуальный контент в абсолютно всех цифровых магазинах Apple в России»: приложения и игры в App Store, музыку и фильмы в iTunes Store, книги в iBook Store. Для совершения покупки кода необходимо ввести лишь электронную почту, а при оплате — данные банковской карты. Однако, поскольку форма оплаты является фишинговой, все данные и деньги попадают в карман злоумышленников.
В другом случае интернет-мошенники предлагают владельцам iPhone вернуть возможность расплачиваться за товары и услуги с помощью ApplePay. Для этого жертве отправляют фишинговую ссылку на «сервис iCloud» и, если пользователь ввел на фейковом ресурсе свои данные Apple ID, аферисты могут получить доступ к iCloud, App Store, Apple Music, iMessage, FaceTime, а вот легитимным владельцам этот доступ все-равно не достанется.
«Схема с угоном AppleID известна достаточно давно и судя по тому, что злоумышленники регистрируют все новые и новые фишинговые ресурсы и активно продают фишинговые инструменты, работает она по всему миру и, к сожалению, довольно успешно, — пояснила сложившуюся ситуацию старший аналитик CERT-GIB Юлия Зинган. — Мы замечаем, что в различных регионах используются свои скрипты и сценарии — в России, например, мошенники пытаются использовать прекращение работы Apple Pay и сложности с пополнением счета в Apple Store и iTunes».
Рекомендации по защите
Эксперты предупреждают об опасности целенаправленного фишинга и напоминают о необходимости защиты идентификатора AppleID: используйте двухфакторную аутентификацию, никому не сообщайте свой пароль идентификатора AppleID или коды подтверждения. Служба поддержки Apple никогда не запрашивает эту информацию, и другим службами сообщить ее не рекомендуется. Также не стоит переходить по ссылкам в сообщениях, но проверять присланную даже известными пользователями информацию на официальных сайтах упоминаемых компаний. Конечно, российским пользователям придется применять не совсем официальные методы для обхода санкций и получения тех сервисов, которые ранее были доступны и удобны, но каждый раз придётся взвешивать риск того или иного действия. Естественно, что мошенники будут стараться использовать возникшую правовую неопределенность в целях собственного незаконного обращения.
