伪造App Store receipts进行广泛的针对Apple ID的网络钓鱼攻击

Apple Phishing Header

一场广泛而卑鄙的网络钓鱼活动正在进行,钓鱼邮件伪装成来自苹果应用商店的购买确认。这些电子邮件包含一个PDF附件,这个PDF附件伪装成是您的帐户以30美元购买的应用程序的收据,电子邮件中还会告诉你,如果您的这次交易未经授权,请点击链接。一旦您点击链接,您就会掉进攻击者的陷阱。

这个周末,我第一次听说这场攻击活动。三个不同的人告诉我他们收到了一封电子邮件,电子邮件表明他们从苹果应用商店(Apple app Store)中购买了一款应用,可是他们自己都非常确认自己从未接触过这款应用。于是我开始研究这场攻击活动,我发现这种形式的攻击已经非常泛滥。

这次攻击活动一开始是受害者接到一封电子邮件,这封邮件假装是用户最近从苹果应用商店(Apple App Store)购买的收据。该电子邮件包含一个PDF附件,该PDF就是购买应用的收据,但电子邮件中没有任何直接消息告诉您打开附件。相反的是,攻击者依赖受害者的好奇态度:“什么……?我没有购买应用程序”?然后受害者打开PDF查看自己是否了购买了应用程序。

Phishing email pretending to be from Apple

伪装成来自苹果的钓鱼邮件

当受害者打开PDF时,他们将看到从Apple应用商店中购买的应用程序的收据。在整个PDF中散布着一些链接。受害者可以使用这些链接报告问题或这些链接表面此次购买未经授权。

Purchase Confirmation PDF

购买确认PDF

如果受害者点击链接,他们将被带到一个页面,要求他们使用他们的Apple ID登录。此页面与Apple的合法Apple帐户管理门户相同。虽然我已经在这些页面中对URL进行了修改,但它们并没有伪装成来自Apple 的看似合法的URL,一个细心的受害者可能会对这些URL产生怀疑。

Phishing landing page pretending to be Apple's account management page

伪装成Apple的帐户管理页面的网络钓鱼登陆页面

如果受害者输入了他们的登录信息,就会跳转到另一个页面,上面写着“这个苹果ID因为安全原因被锁定了”。你必须在登录前解锁你的账户。

Next page stating your Apple ID is locked out and you must unlock it

下个页面说明您的Apple ID已被锁定,您必须将其解锁

有了这种信息,我可以想象一个受害人收到了一封关于购买应用的电子邮件,他们虽然并没有购买应用但却担心自己的账户被黑客攻击,然后试图继续重新获得访问权限。

当用户单击Unlock Account按钮时,将显示一个页面,页面要求用户验证其帐户信息,以便可以解锁该帐户。此页面会询问受害者的全名,地址,电话号码,社会保险号码,出生日期,付款信息以及包含您母亲的婚前姓名,驾驶执照号码或护照号码的在内类似安全验证问题。

更新帐户信息页面

更新账户信息页面

当受害者完成输入并提交信息时,他们将被带到一个临时页面,声明用户将自动注销,以便恢复他们对账户的访问权限。

Pretending to restore access to your Apple ID

假装恢复对Apple ID的访问权限

钓鱼页面会将受害者重定向到合法的appleid.apple.com账户管理页面。很秒的部分是攻击者这样做的方式会导致Apple的网站显示一条消息,指出“此会话已超时以保证您的安全”。这使得网络钓鱼页面的看起来更加合法,即您正在注销以恢复您的帐户,这是一个正常的过程。

Legitimate Apple account management site

合法的苹果账户管理网站

如果受害者输入了他们的信息,攻击者现在就有足够的信息来完成受害者的完整身份盗窃。这包括开立银行或信用卡账户,利用这些信息访问受害者的其他账户,或以受害者的名义提交纳税申报单。

这是一场非常影响广泛和技术先进的钓鱼攻击,利用看起来与真正的Apple帐户页面相同的网页使受害者掉以轻心,然后继续通过不同的页面攻击受害者。由于这次攻击做的非常巧妙,所以当我发现受害者试图阻止他们的帐户上购买未经授权的应用程序进而掉进陷阱时,我不会感到惊讶。

如前所述,此次攻击的弱点在于使用了非常可疑的URL。一个细心的人会很容易注意到这些URL不合法,并且这些URL看起来很奇怪,从而能躲避这次攻击。因此,用户不要打开来自奇怪电子邮件的链接,而是直接访问相关公司的官方网站,这一点非常重要。如果您确实打开了电子邮件中的链接,则您必须分析目标网页的URL,以确保您位于合法网站上。

翻译文章 本文来自BLEEPINGCOMPUTER

本文来自投稿,不代表MottoIN立场,如若转载,请注明出处:http://www.mottoin.com/article/web/133647.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code