Мошенники разработали сервис, который отвязывает заблокированные айфоны от iCloud. Об этой программе рассказал хакер под ником Link, который лично убедился в её работоспособности.
Link не сообщил название программы. Имя разработчика тоже не удалось установить. Известно, что он продает программу за $60.
Она позволяет разблокировать айфоны и другие устройства Apple, привязанные к iCloud, а также продавать лицензии другим пользователям.
Сервис использует фишинговый сайт для получения данных iCloud
Пример сообщения, которые получают владельцы пропавших iPhone.
О существовании сервиса Link узнал случайно. Летом 2021 года у его знакомого украли айфон на фестивале.
Спустя три-четыре дня на другое устройство друга начали приходить сообщения якобы от центра поддержки Apple, в которых говорилось, что айфон нашелся и нужно заполнить форму возврата по ссылке.
Ссылка ведет на сайт, похожий на одну из страниц Apple. Пользователям предлагается ввести логин и пароль от iCloud, а также код для двухфакторной аутентификации.
После введения всех данных, устройство автоматически отвязывается от iCloud.
С помощью сервиса Whois хакер выяснил, что домен зарегистрирован на человека из Ганы.
Написал ему, скинул ссылку на сайт и сказал, что хочу такой же для разблокировки iPhone, попросил помочь сделать.
Link
Создатель сайта поделился контактами человека, который продает программу для разблокировки устройств с помощью фишинга. Она стоит $60.
В ходе переписки выяснилось, что 3–4 клиента этого сервиса находятся в Москве. Сайт, на который Link перешел из SMS, принадлежит одному из них.
Этой программой пользуется около 300 человек, количество жертв исчисляется десятками тысяч
После того, как жертва заполняет форму на сайте, злоумышленник получает не только разблокированный айфон, но и все данные пользователя: модель разблокированного устройства, страна, город, IMEI и IP.
Вся информация приходит через бот в Telegram.
Link нашел уязвимость на сайте, благодаря чему получил ключ для доступа к общему аккаунту в Telegram. С этого аккаунта боты рассылали сообщения о статусе взлома.
Хакер с командой скопировал все сообщения из учетной записи. Их было более 50 тысяч.
Среди них они нашли группу в Telegram, в которой общаются пользователи, купившие доступ к программе. В чате около 200 человек, в том числе продавец сервиса.
По словам Link, во всем мире примерно 300 подобных фейковых страниц, похожих на сайт Apple. Количество пострадавших пользователей может быть более 10 тысяч.
Хакер рассказал службе безопасности Apple об этой схеме. Компания обещала провести проверку, но о результатах сообщать не будет, потому что эта информация не попадает под программу по поиску уязвимостей в iOS. [vc.ru]