Wczoraj w nocy dostałem bardzo ciekawego maila. Otóż, Apple powiadamia mnie o tym, że moje konto Apple ID zostało zablokowane i żeby je odblokować, muszę je zweryfikować. Stary chwyt. Już same metadane wokół wiadomości maila wskazują na to, że mam do czynienia z cyberprzestępcami i na tym moja komunikacja z nimi powinna się zakończyć. Ja jednak postanowiłem... odpowiedzieć na wiadomość.
Oto jak hakerzy wyciągnęli ode mnie dane. Na pewno im się przydadzą
W wiadomości e-mail, w której metadane jednoznacznie wskazywały na pułapkę znalazłem linka do odblokowania swojego konta Apple ID. W tym punkcie mógłbym bardzo szybko przeprowadzić weryfikację stanu usługi poprzez... zalogowanie się poza linkiem z komunikatu. I pewnie nie zauważyłbym niczego, co by wskazywało na to, że została nałożona jakakolwiek blokada. Ale, jedźmy dalej. Wszelkie dane, które wprowadziłem na stronie cyberprzestępców są fałszywe (a nawet obraźliwe, jednak te najbardziej obelżywe pominąłem).
Wpisanie kompletnie nieprawdziwych danych logowania, które na pewno nie przeszłyby w prawdziwej domenie Apple spowodowało, że "system" przepuścił mnie dalej i powiadomił o tym, że blokada jednak się dokonała (a jakżeby inaczej?). Cóż, lećmy dalej. Poproszono mnie o wpisanie prywatnych danych takich jak imię, nazwisko, data urodzenia i tak dalej. To też grzecznie podałem. Proces weryfikacji przeszedł pozytywnie mimo tego, że podsunąłem systemowi fakt, iż żyję sobie od 666 roku. Jak na faceta, który ma ponad 1000 lat, całkiem nieźle radzę sobie z phishingiem, nieprawdaż?
Po co komu karta kredytowa do odblokowania konta?
Nie wiem, ale na tym etapie (mam nadzieję) wielu początkowo wystraszonych użytkowników konta Apple się zastanowi. Apple nigdy nie zapyta Was w taki sposób o dane do karty (najczęściej je po prostu ma i więcej o nie nie zapyta). Co więcej, żaden szanujący się usługodawca nie dopuści się takiej praktyki: to zrobią tylko cyberprzestępcy, którym zależy na wyciągnięciu newralgicznych informacji.
Dane do karty (rzecz jasna fałszywe) podane, kod CVV2 oraz data ważności wpisane byle jak, jak dla obcego. Cyberprzestępcy w kolejnym kroku całkiem przytomnie wprowadzili jeszcze element przechwytujący dwuskładnikowe uwierzytelnianie. Ofiara otrzyma na swój telefon kod potwierdzający (bo cyberprzestępcy będą chcieli od razu wykorzystać wprowadzone dane) i... odda go autorom kampanii phishingowej. Po chwili pieniądze z karty magicznie znikną i... to właściwie wszystko. Po wprowadzeniu wszystkiego, co jest potrzebne cyberprzestępcom, spreparowana strona przekierowuje nas na prawdziwą witrynę Apple.
Po co to zrobiłem?
Dla zabawy, między innymi. Muszę Wam powiedzieć, że całkiem nierzadko zdarza mi się wymieniać wiadomości z cyberprzestępcami - jeden raz nawet wykonano dla mnie certyfikat potwierdzający prawo do otrzymania milionów od księcia z Zimbabwe na nazwisko: "Psi**uj von Tusia". Właśnie takie nazwisko widniało na pliku graficznym, który otrzymałem po wysłaniu do autorów kampanii prywatnych danych.
Jeżeli otrzymaliście podobną do mojej wiadomość - wiecie, że nie powinniście z nią nic robić. W każdym innym, podejrzanym przypadku róbcie tak samo. Ktoś się przedstawia jako InPost? Jeżeli nie jesteście pewni tożsamości nadawcy, weryfikujcie sprawę w InPost. Jestem właściwie pewien, że powiedzą, iż wiadomość nie pochodzi od nich.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu