הונאת פישינג חדשה נכנסת לקלנדר של אפל, ולא – היא לא שולחת התראות
תוקפים שולחים הודעות פישינג שנראות כהודעות תשלום לגיטימיות, תוך שימוש בכתובת רשמית של Apple ועוקפים את מסנני הספאם הכי מתקדמים בדרך לסיסמאות של הקורבן
תמונה: Dreamstime
הודעות חיוב במייל מגיעות מדי חודש והפכו למשהו שגור וגנרי, שבדרך כלל נוהגים להתעלם ממנו אחרי החודש הראשון. אבל מה קורה כשרואים הודעה מכתובת שנראית לגיטימית, אבל הסכום הוא ממש לא מה שהסכמתם לשלם? אם התשובה היא לא "מרימים טלפון ובודקים למה החיוב המוגזם", כנראה שאתם ממש לא מעריכים את הכסף שלכם. אבל יש מי שינצלו את התגובה הזו כדי להפיל אתכם בפח ולגנוב לכם קצת יותר מאשר כמה שקלים.
מתקפה חדשה חושפת איך האקרים עוקפים את מסנני הספאם בכלים המובנים של Apple כדי להגיע ישירות לתיבת הדואר של צרכנים ולהפיל אותם בפישינג מתוחכם במיוחד. על פי דיווח של BleepingComputer, הודעות החיוב המזויפות נשלחות ישירות לצרכנים דרך כתובת המייל noreply@email.apple.com שמקשה על זיהוי ההונאה, ומגבירה את הסיכוי שההודעה תעבור את מסנני הספאם ותגיע לתיבת הדואר של הקורבן.
על פי הדיווח, אחד הקורבנות קיבל מייל שהתחזה להודעת תשלום של כ-600 דולר מחשבון ה-PayPal שלו. ההודעה כללה מספר טלפון "לתמיכה", כביכול למקרה שהוא רוצה לערער על החיוב או לבצע שינוי.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
כמו כל הודעת פישינג קלאסית, המייל נועד כמובן להלחיץ את הנמען ולגרום לו לחשוב שחוייב, כשבפועל לא התבצע שום חיוב. כשהקורבן מתקשר למספר, "הנציג" הוא למעשה תוקף שמנסה לשכנע אותו שחשבונו נפרץ, או שהחברה צריכה לקבל גישה למחשב שלו כדי לבצע החזר. כפי שקרה במתקפות דומות בעבר, הגישה מרחוק מנוצלת לגניבת כספים, פריסת נוזקות או גניבת מידע מהמחשב.
אמין יותר מתמיד
מה שהפתיע במיוחד הוא שהודעת הפישינג הצליחה לעבור שלושה מסנני ספאם והונאות ובהם: אימות IP שתואם לשרתי אפל, אימות חתימה דיגיטלית ושליחה מתוך דומיין חוקי של אפל. בפועל, ההונאה עבדה דרך הזמנת לוח שנה של iCloud. התוקף הכניס את טקסט הפישינג בתוך שדה ה-Notes באירוע והזמין אליו כתובת מייל מסוג Microsoft 365 שנמצאת בשליטתו: Billing3@WilliamerDickinsonerLTD.onmicrosoft.com.
כאשר אדם חיצוני מוזמן לאירוע דרך iCloud, מייל ההזמנה נשלח ישירות משרתי אפל, מה שמקנה להודעה מראה לגיטימי. במקרה זה ההזמנה נשלחה לכתובת שמתפקדת כ"רשימת תפוצה", כל מייל הנשלח אליה מועבר אוטומטית לכל חברי הקבוצה, שהם למעשה הקורבנות הפוטנציאליים.
בעוד שתוכן ההונאה מוכר, השילוב של כלים לגיטימיים כגון לוח שנה של iCloud, כתובת מייל רשמית של אפל, והפצה דרך תשתית מיקרוסופט, מקנה תחושת אמינות. שילוב זה גורם למייל להיראות לגיטימי הן בעיני המשתמש והן בעיני מסנני הדואר.
ההונאה החדשה היא תזכורת לכך שהתוקפים תמיד ממשיכים לשכלל ולחדש את השיטות שלהם ומיום ליום הניסיונות נראים אמינים יותר ולכן קל יותר ליפול בהם. הם כבר לא שולחים מיילים עילגים עם שגיאות כתיב, אלא משתמשים בפלטפורמות מוכרות, בכתובות רשמיות ובשירותים לגיטימיים לחלוטין. דווקא בגלל זה, כל הודעה שנראית "יותר מדי תקינה", צריכה להדליק נורה אדומה.
