Заоблачная угроза: с начала года появилось 7 тыс. доменов, маскирующихся под iCloud
С начала года в Сети появилось около 7 тыс. доменов, в написании которых использовано название сервиса iСloud. Выяснившие это специалисты по информационной безопасности считают, что все эти сайты зарегистрировали злоумышленники, чтобы использовать для фишинга. В зависимости от пользовательских настроек кража аккаунта в облачном хранилище Apple может быть чревата для жертвы потерей не только фотографий, но и платежных данных. Судя по темпам регистрации доменов и их количеству, сайты, маскирующиеся под iCloud, — сегодня одни из самых востребованных у злоумышленников. Эксперты отмечают, что эта популярность продержится долго и угрожает в том числе и российским пользователям техники Apple.
Дурная слава
За первые восемь месяцев 2021 года в интернете появилось около 7 тыс. доменов, в написании которых использовано слово iCloud. Все они с большой долей вероятности были созданы злоумышленниками, считает ведущий аналитик компании Infosecurity a Softline Company Александр Вураcко. По его мнению, сайты могут быть использованы как для создания фишингового сайта, так и для рассылок вредоносных писем. Цель одна: компрометация данных.
— Такое заключение было сделано на основе семантического анализа доменов вроде icloud-id-support.live, icloud-support.cloud, icloud-apple-verify.com, icloud-find-assistance.com. Учитывая составляющие таких доменов, довольно сложно придумать им легитимное использование, — отметил Александр Вураско.
Опрошенные «Известиями» эксперты по информационной безопасности отметили, что охота злоумышленников на аккаунты от облачных хранилищ распространяется не только на iCloud. У мошенников есть специальные программы для оформления ложных сайтов, похожих на оригиналы популярных интернет-сервисов, отметил независимый эксперт по информационной безопасности Денис Батранков. В одной из таких утилит Socialphish можно сделать сайт, похожий не только на iCloud, но и на Facebook, Instagram, Google и другие.
Многие специалисты подчеркивают, что кража аккаунта iCloud приводит к более существенному ущербу, чем учетной записи любого другого облачного хранилища.
— Нужно понимать, что iCloud — не аналог Google Drive. Последний — это файловое хранилище. А iCloud — общий набор облачных сервисов Apple, где, кроме файлов, хранятся резервные копии телефона, сохраненные пароли, платежная информация и так далее. Если искать аналоги iCloud у Google, то это сервис Google Account, — сказал руководитель продуктов компании «Код безопасности» Павел Коростелев. — При краже аккаунта iCloud можно скопировать резервную копию телефона и вытащить из нее все данные. Информация в бекапе может быть весьма чувствительная.
Директор по консалтингу ГК InfoWatch Ирина Зиновкина отметила, что уровень ущерба зависит от настроек конфиденциальности. По ее мнению, аккаунты Apple атакуют чаще, чем учетные записи Google, поскольку у многих пользователей iOS и macOS включена автоматическая синхронизация данных с облаком.
По словам Дениса Батранкова, за кражей аккаунтов iCloud обычно следует шантаж жертвы и требование выкупа.
— Для этого злоумышленники блокируют устройства Apple у человека и даже помечают их как украденные. В результате сам человек уже не может пользоваться своими устройствами и не может также их разблокировать, потому что у него нет доступа к iCloud. И ему приходится платить выкуп, чтобы получить доступ к своим же собственным устройствам Apple, — сказал эксперт.
Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров добавил, что полученная из облачного хранилища информация может быть использована для компрометации других онлайн-сервисов, которыми пользуется жертва, и отслеживания ее перемещений.
В зоне риска
Все опрошенные специалисты отметили, что обнаруженные компанией Infosecurity a Softline Company домены представляют потенциальную опасность для российских пользователей iOS и macOS. Злоумышленники регулярно паразитируют на популярности американского бренда в России, отметил Александр Вураско. Особенно это заметно в преддверии старта продаж новых iPhone, кода в Сети появляются сайты-клоны официальных дилеров Apple, добавил эксперт.
Ведущий аналитик «СерчИнформ» Леонид Чуриков напомнил, что российские пользователи уже становились жертвами компрометации iCloud. В частности, сообщалось о взломе аккаунтов звезд. Однако неизвестно, как именно это происходило: с помощью фишинга или перебора паролей.
Денис Батранков добавил, что обсуждаемая проблема актуальна для всего мира, включая Россию. Похожего мнения придерживается и Павел Коростелев.
В Apple к моменту публикации материала на запрос «Известий» не ответили.
Бессмертная классика
Сейчас появляется примерно 900 доменов в месяц, иммигрирующих под iCloud. Такие сайты — одни из самых популярных среди злоумышленников, заключили в Infosecurity a Softline Company.
— Иногда домены регистрируются пачками. Например, 30 января кто-то зарегистрировал сразу 60 доменных имен, созданных по схеме icloud-signin*.com, где «*» — переменный символ, — указано в отчете исследователей.
Там же отмечено, что фишинг сегодня — главный инструмент взлома аккаунтов. Схожей позиции придерживается и ведущий аналитик «СерчИнформ» Леонид Чуриков. По его словам, мошенники всё чаще отдают предпочтение фишингу, отказываясь от других трудоемких инструментов.
— В 2016 году, по данным компании Certo, 90% организаций, предлагающих «шпионский софт», имели в ассортименте инструменты для скачивания данных из iCloud. В 2021 году — только треть. Да и то из протестированных Certo семи инструментов реальную эффективность показали только два. Это говорит о том, что эффективность защиты растет, взламывать iCloud с помощью ПО становится сложнее и менее рентабельно. Фишинг — более результативный инструмент, — сказал эксперт.
Александр Вураско подчеркнул, что создание фишинговых сайтов для взлома iCloud — не новый тренд, но довольно устойчивый. Предпосылок к снижению активности злоумышленников в этой сфере он не видит.
Впрочем, в период пандемии в целом стало больше фишинговых атак, в том числе и на iCloud, добавила Ирина Зиновкина.
Количество атак, направленных на получение доступа к аккаунтам облачных сервисов постоянно растет, так как всё больше пользователей выбирают именно такой способ хранения персональной информации и синхронизации, заключила старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова.
