出國旅行當心手機被扒,去年有23,000 台 iPhone在邁阿密機場失竊!

結合真實世界的網路犯罪,竊賊先解鎖Apple 裝置,再銷贓轉賣

網路詐騙與真實世界犯罪已經開始出現交集。根據趨勢科技今年 5 月所看到的一樁案例,歹徒利用工具破解 iCloud 帳號以解鎖偷來的 iPhone 手機。經過進一步追查之後,我們發現犯罪集團跨界的程度相當深。今日全球手機銷贓市場其實已具備相當的規模,而破解 iCloud 則是其中重要一環。從愛爾蘭英國印度阿根廷美國,失竊裝置解鎖服務的需求令人乍舌:去年,失竊的 iPhone 手機在東歐國家可賣到 2,100 美元之譜,而美國去年也有 23,000 台 iPhone (總價值 670 萬美元) 在邁阿密國際機場失竊

 

假冒 Apple 名義發送一封電子郵件或簡訊給受害者

駭客的手法相當直接,他們假冒 Apple 名義發送一封電子郵件或簡訊給受害者,通知他們失竊的裝置已經尋獲。此時,心急如焚的受害者很可能不假思索就點下訊息隨附的連結,進而連上歹徒用來騙取受害者 iCloud 登入憑證的網頁,得手之後,歹徒就能解鎖偷來的 iPhone 手機。竊賊會透過第三方 iCloud 網路釣魚服務來解鎖裝置。這些 iCloud 網路釣魚服務業者所用的犯罪工具包括:MagicApp、Applekit 與 Find My iPhone (FMI.php) 架構,甚至建立了自動化 iCloud 解鎖流程,裝置一旦解鎖之後,就能賣到地下市場或灰色市場 (gray market)。

這類 iCloud 解鎖服務大多利用社群網站或個人網站來經營。此外,也提供服務轉售或伺服器租用 (替人發送網路釣魚訊息)。這類服務的客戶遍及全球,如:義大利、法國、西班牙、美國、印度、沙烏地阿拉伯、巴西以及菲律賓。雖然我們只研究了三個 iCloud 解鎖應用程式和服務,但網路上可找到的還更多,只要搜尋一下社群媒體、網路廣告和電子商務網站即可。

我們發現的案例牽涉到科索沃、菲律賓、印度和北非等國的數個犯罪集團。開發 AppleKit 的駭客在一個叫「dev-point」的阿拉伯駭客論壇上相當活躍。使用 MagicApp 或 AppleKit 兩套工具的客戶並不一定非用網路釣魚腳本不可,但因為開發人員大多熟悉彼此的產品 (而且成功率頗高),因此許多人都傾向將三者合併使用。

利用網路釣魚騙取登入憑證
以下是歹徒犯案手法示意圖。駭客一旦取得了受害者的 iCloud 帳號,其工具就可以下載 iCloud 帳號來從事其他犯罪活動,然後再將它刪除。


圖 1:駭客犯罪手法示意圖。


圖 2:Github 上一個用來假冒 Apple 驗證名義進行網路釣魚詐騙的腳本 (2017 年 3 月 21 日)。

我們在 Github 上的一個公開程式碼資料庫當中找到某個網路釣魚網頁的部分原始程式碼,也找到了其他用來產生 iCloud 網路釣魚頁面的工具。這個網路釣魚網頁採用了網路犯罪集團口中所稱的「FMI.php」(Find My iPhone 架構) / Devjo 類別,該元件也存在於許多其他網路釣魚套件。這是網路犯罪集團手中最接近 Apple 官方 Find My iPhone 應用程式開發介面 (API) 的套件。

當使用者在網路釣魚頁面上輸入了登入憑證之後,駭客就能利用 FMI.php 架構來取得使用者 iCloud 帳號的相關資訊,如:手機號碼、密碼長度、ID、GPS 定位、裝置是否已被鎖住,以及使用者是否已下達清除裝置的指令。此外,在裝置解鎖之後,FMI.php 架構還可將受害者的裝置從其 Apple 帳戶上刪除。不僅如此,如果受害者真的上當,駭客還會收到電子郵件通知。


圖 3:駭客經由電子郵件收到受害者的 Apple ID 和密碼。

社群媒體上有很多這類網路釣魚工具套件的廣告,甚至還包含完整的使用教學。其功能包括:

  • 電子郵件通知,包含受害者的 IP 位址、HTTP 參照位址、瀏覽器的 User-Agent 等等。
  • 存取受害者的 iCloud 帳戶,取得裝置資訊、解鎖裝置、或將裝置從帳戶中刪除。
  • 防止搜尋引擎的地毯式搜索,防止防毒軟體掃瞄,藉由 IP 範圍來封鎖。

 

AppleKit:iCloud 帳號破解服務
除了網路釣魚工具套件之外,犯罪集團還提供其他服務來協助駭客同伴們建立自己的事業。其中之一就是 AppleKit,其內含一個網頁控制台,可檢視已破解的裝置。AppleKit 支援的裝置有:iPhone、iPad、Mac 和 Apple Watch,而且據說會定期更新並新增功能。


圖 4:AppleKit 的控制台。

MagicApp:自動化 iCloud 帳號破解
MagicApp 已將 iPhone 解鎖流程自動化,並可搭配其他攻擊途徑來使用。必須是已越獄的 Apple 裝置才能執行 MagicApp,因為該程式並未通過 Apple 官方 App Store 的認證。MagicApp 可在網路上免費下載,也可以在 Github 上找到,如下所示:


圖 5:MagicApp 在 Github 上的資料。

MagicApp 提供了完整的失竊裝置解鎖功能,包括發送網路釣魚郵件或簡訊。其中每個欄位都可以自訂,因此駭客可以當地語言發送簡訊。除此之外,還可發送假的 GPS 定位資訊讓受害者相信其裝置已經尋獲。MagicApp 甚至提供了 50 個可客製化的網路釣魚範本,涵蓋每一種 Apple 裝置。

同時,開發 MagicApp 的駭客還和另一個網站「iUnlocker.net」合作,後者可查看裝置在 iCloud 上的狀態以及使用的電信廠商是哪一家。而且,iUnlocker 還可解開 IMEI 已被電信業者封鎖的手機。


圖 6:使用 iUnlocker 來檢查裝置的 IMEI 是否已被封鎖 (由分析人員 Ju Zhu 所提供)。

保護行動裝置,養成五個好習慣
如同網際網路的發展已改變資訊存取與企業經營的方式,真實世界與網路世界的犯罪也開始不再涇渭分明。真實世界的竊盜已不再侷限於真實世界,從上述工具我們可以發現歹徒已巧妙結合網路犯罪與傳統犯罪,甚至相輔相成,當然獲利也更上層樓。例如今年 9 月,網路犯罪集團在取得 iCloud 登入憑證之後,利用 Apple 的尋找裝置服務從遠端將 Mac 鎖住,讓使用者無法進入自己的裝置以藉機勒索。使用者因此面臨了必須重灌裝置並失去所有資料的風險。
總歸一句話:財產安全與網路資安一樣重要,除了隨時留意自己的裝置以防止遭竊之外,資安意識也很重要:

  1. 養成良好習慣以保障行動裝置安全,在 iCloud 帳號上啟用雙重認證,並開啟裝置的安全功能,如:尋找我的 iPhone、自動鎖定。
  2. 定期備份資料以減少裝置遺失的損失。
  3. 當裝置遺失或失竊時,立即通知電信業者,不讓歹徒有機會繼續使用該裝置。
  1. 多多留意網路釣魚跡象,尤其小心那些不請自來、而且向您要求輸入 iCloud 或 Apple ID 登入憑證的電子郵件或簡訊。
  2. 工作場所應該強制實施嚴格的資安政策,尤其是會儲存或處理敏感資訊的裝置。

更重要的是,要多做功課:在您購買二手裝置之前,請務必向賣家或電信業者確認該裝置未被報失。行動通訊產業協會 (Cellular Telecommunications Industry Association,簡稱 CTIA) 架設了一個專門用來確認 IMEI 的網站來協助消費者和執法單位檢查某支 iPhone 是否被列入黑名單或報失。不論經銷商或消費者都應該知道「尋找我的 iPhone」歷史資料會儲存在 Apple 的資料庫。因此,Apple 裝置已經具備防止裝置失竊之後被重新販賣的機制,例如可以讓裝置變得完全無法使用。

趨勢科技解決方案
此外,採用一套多層式行動資安防護對使用者也有所幫助,例如:趨勢科技行動安全防護可監控及攔截網路釣魚攻擊與其他惡意網址。

至於企業,尤其是採用 BYOD 裝置的企業,趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。

趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可利用先進的沙盒模擬分析與機器學習技術來防範 iOS 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

我們已將前述詐騙手法與相關研究發現通報給 Apple。如需詳細的研究內容,包括犯罪工具的詳細說明以及入侵指標,請參閱這份技術摘要

 

原文出處:Physical Theft Meets Cybercrime: The Illicit Business of Selling Stolen Apple Devices

作者:Fernando Mercês 和 Mayra Rosario Fuentes