Os cibercriminosos estão mirando Iphone usuários que tiveram seus telefones roubados com um novo golpe projetado para roubar detalhes de login do iCloud.
Como se ter seu iPhone roubado não fosse ruim o suficiente, os hackers estão enganando as vítimas de roubo de telefone para que forneçam suas credenciais de ID da Apple, dando-lhes acesso a seus dados pessoais.
Usuários do iPhone estão sendo atingidos por um golpe de phishing muito convincente (Imagem: PA)
Muitos usuários da Apple relataram ter sido enganados pelo hack online, incluindo um azarado Joonas Kiminki, que detalhou o quão convincente o golpe de phishing pode ser em Hackernoon.
Depois de ter seu iPhone roubado de seu carro durante as férias, Kiminki fez a coisa óbvia: usou o telefone de sua esposa para ligar para o seu. Mas, como esperado, foi desligado.
rio foguete azul dallas
Ele então marcou o telefone como 'perdido' no aplicativo Find my iPhone, que informa aos usuários se um telefone foi encontrado. Ele digitou um texto para exibir no telefone caso ele fosse ligado novamente e clicou em todas as caixas de seleção para me enviar e-mail quando o telefone retornar on-line.
O aplicativo Find My iPhone ajuda os usuários a localizar dispositivos iOS perdidos (Imagem: Maçã)
“Ninguém pode acessar meus dados no telefone e, como está conectado à minha conta do iCloud, outros não podem reativar o telefone por si mesmos”, disse ele.
Mais tarde, comprei um telefone novo, mas ontem - onze dias depois que o telefone foi roubado - aconteceu o mais interessante: recebi um SMS e um e-mail informando que o telefone foi encontrado!
O login falso do iCloud de aparência autêntica com endereço da Web não criptografado (Imagem: Hacker Moon)
O SMS e o e-mail continham um link para Kiminki clicar, para mostrar a localização de seu iPhone perdido. O link trouxe uma tela de login do iCloud com aparência autêntica.
significado do numero 17
É claro que corri para o endereço no link e comecei a digitar minhas credenciais, mas de repente parei. Algo não estava certo, ele disse
Ele explicou que - porque ele trabalha para uma empresa de construção de sites - ele conseguiu identificar os sinais reveladores de um hack que uma pessoa comum não pode.
Tenho certeza de que muitas pessoas teriam apenas digitado seu ID e senha da Apple e só então se perguntado por que o login não funciona, acrescentou.
O script por trás do login falso do iCloud mostra que não é realmente da Apple
Como ele conseguiu identificar que o e-mail e o SMS não eram autênticos, ele também conseguiu escapar de ter suas credenciais roubadas.
Então, quais foram os fatores reveladores desse chamado ataque de phishing? Em primeiro lugar, o link levou Kiminki a um site com o endereço 'show-iphone-location.com' - não soando muito oficial. Também não foi criptografado como uma página genuína da Apple seria.
Indo mais fundo, Kiminki notou que o e-mail também não era da Apple, mas de icloud.insideappleusa@gmail.com, que não é registrado na Apple, mas em uma empresa de Nassau.
teste de drogas deu errado
Você não pode ativar um iPhone ou qualquer dispositivo iOS, desde que esteja conectado à conta do iCloud de alguém, disse Kiminki
'No entanto, quando você rouba um telefone, você pode aperfeiçoar o crime roubando a identidade do pobre coitado também.'
Os hackers só precisam fazer logon no Find my iPhone, desacoplar a conta do dispositivo e boom - eles têm um telefone desbloqueado.
o que significa 22 espiritualmente
os hackers podem explorar o aplicativo Find my Phone, pois o recurso não usa a verificação em duas etapas (Imagem: Getty)
Essa não é uma ideia completamente nova - houve vários casos desse golpe sendo usado contra usuários. Um ataque semelhante foi postado por um usuário no Reddit em abril .
Especialista em segurança Graham Cluley disse que os hackers podem explorar o aplicativo Find my Phone porque, ao contrário do iCloud, o recurso não usa a verificação em duas etapas para verificar se aqueles que acessam o serviço são genuínos.
Comentando sobre o mesmo hack usado em um estudante de graduação em ciência da computação na Universidade de Waterloo , Cluley disse: 'Se houvesse outra etapa de login, como uma pergunta de segurança secreta, o invasor não teria quase apagado seus dispositivos.
Os usuários devem proteger seus IDs Apple, bem como todas as suas contas da web com uma senha forte e com verificação em duas etapas, se e quando disponível.
o que significa 127
A indústria de segurança espera Maçã introduzirá a verificação em duas etapas para o recurso Find My iPhone, agora que vários desses ataques de phishing foram relatados online.
Apesar da natureza muito fechada de seu software, a gigante da tecnologia está finalmente começando a perceber que não está imune a cíber segurança vulnerabilidades.
Na semana passada, a empresa concordou em dar aos pesquisadores de segurança acesso ao seu software pela primeira vez.
A empresa agora está oferecendo recompensas de bugs de US $ 200.000 (£ 152.000) – um programa de incentivo que oferece recompensas por descobrir e enviar falhas e fraquezas de segurança.
Outras empresas de tecnologia, como Google e Microsoft, oferecem essas recompensas para aumentar seu nível de segurança online há algum tempo. Embora, talvez para compensar o tempo perdido, o montante fixo da Apple pareça ser a maior recompensa corporativa de todos os tempos.
carregamento da enquete
