「尋找我的 iPhone」卻找到釣魚網站,導致 Apple 登入憑證被盜

她的 iPhone 被偷後,收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 連結。沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。

iphone 手機

傳統犯罪與網路犯罪的結合,已使得傳統犯罪的受害者陷入更悲慘的境遇。最近的一個案例就是,一位女子在參加芝加哥一年一度的 Lollapalooza 音樂節時不慎 iPhone被偷。結果在她經由網路尋找 iPhone 時卻不小心誤觸盜賊的網路釣魚網站,導致 Apple ID 和密碼也被騙走。

這名受害者向當地的新聞媒體 CWBChicago 分享了這段經歷,希望不要再有其他人受害。如同一般的網路釣魚詐騙一樣,這名女子收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 網頁的連結。但她直到自己的登入憑證被盜了之後才意識到這則簡訊以及剛剛登入的網頁很可能是假的,因為,沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。

顯然,要是這名女子能一開始就識破那則網路釣魚訊息,這一切的悲劇就不會發生。這話說來容易,但歹徒就是有能力偽造出幾可亂真的網路釣魚頁面,就連最謹慎的用戶也可能被騙。

不必故意使用拼錯的字,就可讓網路釣魚網址看起來完全無任何異樣

《富比世》(Forbes) 雜誌曾經報導過一種名為「同形字」(homograph) 的網路攻擊技巧,可讓網路釣魚網址看起來完全無任何異樣,不必故意使用拼錯的字,而是利用的是斯拉夫語的西裡爾字母 (Cyrillic) 當中看起來與英文字母相同的字母

值得一提的是,像這樣結合實體竊盜與網路釣魚攻擊的手法早在 2017 年就已出現。趨勢科技稍早曾經發表過一個案例來說明這樣的複合手法可能帶來哪些後果。此案例的受害者也是手機被偷,然後歹徒進入了他的社群媒體帳號,然後發送一封網路釣魚郵件給他。

《延伸閱讀 》
iPhone被扒走,新手機傳來:”您遺失的裝置已經找到了,請點這裡查看….” 竟是網路釣魚騙Apple ID!

2017 年的這起案例經過深入追查之後發現歹徒應該是想要竊取受害者的 Apple ID 和密碼,所以才假冒 Apple 的名義發送社交工程簡訊給他。而我們也在當時的網路犯罪地下市集上發現有人在兜售專門針對 iCloud 的網路釣魚頁面。歹徒在取得使用者的登入憑證之後,就能關閉 iOS 裝置的啟用鎖定功能,這樣一來就能徹底清除偷來的 iPhone,本文的案例很可能就是這樣的情況。

你掉的智慧型手機不再只是被轉賣,而是用來從事網路犯罪

不論是之前或是這次的案例都顯示,歹徒偷取了智慧型手機之後很可能不再只是直接轉賣,而是會再用來從事其他網路犯罪。畢竟,智慧型手機包含了非常豐富的個人資訊,並且能夠存取社群媒體、電子郵件、簡訊以及網路銀行帳號。

處在今日的世界,有一點很重要的就是要了解網路犯罪集團與實體犯罪集團現在已經不再像從前那樣涇渭分明。實體犯罪集團會盡一切所能來獲取最大利潤,因此很可能結合多重手法。而網路犯罪集團則會持續演進來誘騙更多受害者並躲避偵測。

使用者應隨時保持警戒並留意網路釣魚的徵兆,養成良好的行動裝置使用習慣,並且啟用裝置和應用程式的安全設定。此外,也應妥善保管自己的手機。有鑑於今日使用者的手機皆含有大量的資訊,使用者應建立一套程序來預防萬一手機真的遺失該如何處理。

PC-cillin 不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔即刻免費下載試用

此外,安裝一套多層式行動資安防護對使用者也有所幫助,例如:趨勢科技行動安全防護可監控及攔截網路釣魚攻擊與其他惡意網址。至於企業,尤其是採用 BYOD 裝置的企業,趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。

原文出處:IPhone Theft Leads to Stolen Apple Credentials Through Phishing Attack