19:31
3/7/2016

Jeśli złodziej komuś ukradnie iPhona, to prawie zawsze nie będzie w stanie niczego z nim zrobić. Są bowiem małe szanse, że złodziej odgadnie kod blokady ekranu. Ale nawet jeśli mu się to uda, to na kradzionym iPhonie i tak nie będzie wstanie przeinstalować systemu operacyjnego bez znajomości hasła AppleID prawowitego właściciela sprzętu. Wniosek? Kradziony iPhone nie nadaje się do sprzedaży — może pójść tylko na części, a to jest zdecydowanie mniej dochodowe. Przestępcy jednak wpadli na nowy pomysł, jak z kradzionego iPhona zrobić w pełni sprawny sprzęt, który będą mogli sprzedać z zyskiem…

Smishing, czyli phishing przez SMS

Złodzieje po kradzieży iPhona wysyłają do ofiary SMS-a, podszywając się pod applowską usługę “FindMyiPhone” i wyłudzając hasło do AppleID pod pretekstem rzekomego “zlokalizowania” ukradzionego telefonu:

Fałszywa wiadomość SMS

Fałszywa wiadomość SMS

Skąd przestępcy mieli nowy numer telefonu ofiary w powyższym przypadku? Ofiara, po kradzieży telefonu może przez usługę Find My iPhone wyświetlić komunikat na zablokowanym telefonie, np.

“W przypadku znalezienia, proszę o kontakt pod numerem XXX”

Dokładnie tak było w prezentowanym w niniejszym artykule przypadku. Co ciekawe, podany w SMS-ie URL to icIoud.report (duże I zamiast małego l), a nie icloud.report.

Dodatkowo, wszystko wskazuje na to, że scam tego typu nie jest incydentalny, ponieważ infrastruktura przestępców posiada wiele domen służących do wykradania haseł poprzez podszywanie się pod usługę Find My iPhone:

CldpxTjUsAAm_6q

Jeśli kiedyś zgubicie (lub zostanie Wam skadziony) iPhone, pamiętajcie aby do FindMyiPhone zawsze logować się z zaufanego urządzenia, wpisując adres samodzielnie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

20 komentarzy

Dodaj komentarz
  1. “icIoud.report (duże I zamiast małego l), a nie icloud.report.”
    ??? chyba wkradł się błąd :)

    • Jest dobrze. Po prostu zmień czcionkę

    • Ale to przecież niebezpiecznik wybrał taką, a nie inną czcionkę na stronie – dlaczego mamy coś zmieniać?

    • Najbardziej czytelne byłoby: “duże i zamiast małego L” :)

    • EuGene: u mnie wygląda dobrze, widać różnicę.

    • @m_gol: to nie problem odwiedzającego, u mnie też widać różnicę w komentarzu a w artykule nie (i wcale nie korzystam z Windows 10).

    • Ja bym nadal był za “wielkie i”, jak mnie uczono, ale teraz modnie jest “duże”, a w sklepach są “sale -50%”. ;)

  2. apple.find-iphone.sexy wydaje się być prawdziwy.

  3. Właśnie dlatego czcionki bezszeryfowe powinny umrzeć.

    • Mylisz pojęcie czcionki i fontu. Czcionka to tylko jeden glif (znak)

  4. Tak. Ale bezszeryfowe są “ładniejsze” dla oka. Możnaby natomiast zrobić nowe czcionki, gdzie tylko niejednoznaczne symbole wyróżniają się “zaokrąglonym” szeryfem, zgodnie z wyglądem czcionki.
    To, albo to, co piszesz.
    Windows 10 też powinien umrzeć, ale jednak nadal nieroztropni z niego korzystają.
    Oni też powinni umrzeć :) średnia ludzkiej inteligencji będzie większa.
    I nie będzie problemu z czcionkami, bo one się nawet nie narodzą.
    Pozdro i czytać ze zrozumieniem :]

    • “Tak. Ale bezszeryfowe są “ładniejsze” dla oka” – no właśnie odwrotnie. Purytanie typograficzni twierdzą, że na tekst podstawowy powinno się używać wyłącznie antykw renesansowych jako najmniej męczących wzrok i najmniej nużących przy czytaniu oraz najładniejszych (coś w tym jest – IMHO i nie tylko w mojej, od ponad 2000 lat nie opracowano ładniejszego kroju, niż oparta o Złoty Podział klasyczna czcionka romańska…).

      A swoją drogą jest dziwne, że są znane domeny przestępców i nie są oni złapani a przynajmniej nie zamknięto domen. Gdyby umieszczano tam np. antysemickie teksty, to zamknięte byłyby już dawno…

  5. “duże I zamiast małego l”

    Według mnie lepszy zapis to: duże “i” zamiast małego “L”. Zapis ten zawsze jest czytelny, niezależnie od czcionki.

  6. Co śmieszne te ich domeny są kupione na 99% na namecheap gdzie były po 0.88$ :D

  7. A ja otrzymałam właśnie wyłudzający email, który prowadzi do takiego linka:
    http://secure-update-login-inc-idmas-manage-help.amylacaze.com/

    – – –

    Confirm your account !

    Â
    Dear Member,
    Â
    We have faced some problems with your account Please confirm your billing details, If you do not confirm your account within 72 hours it will be Permenatly Closed !
    Â
    To update your account, just confirm your informations, It’s easy:
    Click Here to Update

    Click the link below to open a secure browser window.
    Confirm that you’re the owner of the account, and then follow the instructions.

    TM and copyright 2015 Apple Inc. 1 Infinite Loop, MS 83-DM, Cupertino, CA 95014.

  8. Nie do końca zgadzam się ze stwierdzeniem zawartym w pierwszym akapicie, że “Kradziony iPhone nie nadaje się do sprzedaży — może pójść tylko na części”. Ostatnio sam straciłem iPhone’a i trochę na ten temat czytałem. Otóż bardzo łatwe jest aktywowanie iPhone’a bez znajomości hasła poprzedniego właściciela, jedyne rzeczy, które w tym momencie nie będą działać to iCloud i usługa Find my iPhone, gdyż telefon, mimo aktywacji, nadal będzie znajdował się na liście urządzeń poprzedniego właściciela. Natomiast cała reszta usług będzie działać bez problemu.

  9. Znajomy padł ofiarą tego ataku jakoś w drugiej połowie zeszłego roku. Po wpisaniu hasła zrestartował mu się komputer i tablet (podpięte do tego samego konta co zgubiony telefon). Natychmiast zorientował się co się stało i zdąrzył zresetowac hasło i przywrócić sobie dostęp do konta z innego komputera.
    W firmie uchodził za eksperta od spraw bezpieczeństwa dlatego opisał swoją historię w wewnętrznym mailu, żeby pokazać, że nawet osoba, która dobrze wie co to phishing i na co dzień uważająca na podobne wiadomości może od czasu do czasu się nabrać.

  10. A to mam pytanie, moja mama znalazła iphona 6, oddała go do biura rzeczy znalezioncyh, telefon wisi juz poł roku i są duze szanse na to że znalazca sie nie znajdzie. Co mam zrobić z takim telefonem?

    • Idz z nim na Policję, oni na pewno legalnie się nim “podzielą” i problem się sam rozwiąże :)

  11. […] jak opisywaliśmy to jeszcze w 2016 roku — bo ten atak nie jest nowy, choć trochę go dopracowano. Złodzieje wysyłają SMS-a, w […]

Odpowiadasz na komentarz XopyIP

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: