結合真實世界的網路犯罪,竊賊先解鎖Apple 裝置,再銷贓轉賣
網路詐騙與真實世界犯罪已經開始出現交集。根據趨勢科技今年 5 月所看到的一樁案例,歹徒利用工具破解 iCloud 帳號以解鎖偷來的 iPhone 手機。經過進一步追查之後,我們發現犯罪集團跨界的程度相當深。今日全球手機銷贓市場其實已具備相當的規模,而破解 iCloud 則是其中重要一環。從愛爾蘭、英國到印度、阿根廷及美國,失竊裝置解鎖服務的需求令人乍舌:去年,失竊的 iPhone 手機在東歐國家可賣到 2,100 美元之譜,而美國去年也有 23,000 台 iPhone (總價值 670 萬美元) 在邁阿密國際機場失竊。
假冒 Apple 名義發送一封電子郵件或簡訊給受害者
駭客的手法相當直接,他們假冒 Apple 名義發送一封電子郵件或簡訊給受害者,通知他們失竊的裝置已經尋獲。此時,心急如焚的受害者很可能不假思索就點下訊息隨附的連結,進而連上歹徒用來騙取受害者 iCloud 登入憑證的網頁,得手之後,歹徒就能解鎖偷來的 iPhone 手機。竊賊會透過第三方 iCloud 網路釣魚服務來解鎖裝置。這些 iCloud 網路釣魚服務業者所用的犯罪工具包括:MagicApp、Applekit 與 Find My iPhone (FMI.php) 架構,甚至建立了自動化 iCloud 解鎖流程,裝置一旦解鎖之後,就能賣到地下市場或灰色市場 (gray market)。
這類 iCloud 解鎖服務大多利用社群網站或個人網站來經營。此外,也提供服務轉售或伺服器租用 (替人發送網路釣魚訊息)。這類服務的客戶遍及全球,如:義大利、法國、西班牙、美國、印度、沙烏地阿拉伯、巴西以及菲律賓。雖然我們只研究了三個 iCloud 解鎖應用程式和服務,但網路上可找到的還更多,只要搜尋一下社群媒體、網路廣告和電子商務網站即可。
我們發現的案例牽涉到科索沃、菲律賓、印度和北非等國的數個犯罪集團。開發 AppleKit 的駭客在一個叫「dev-point」的阿拉伯駭客論壇上相當活躍。使用 MagicApp 或 AppleKit 兩套工具的客戶並不一定非用網路釣魚腳本不可,但因為開發人員大多熟悉彼此的產品 (而且成功率頗高),因此許多人都傾向將三者合併使用。
利用網路釣魚騙取登入憑證
以下是歹徒犯案手法示意圖。駭客一旦取得了受害者的 iCloud 帳號,其工具就可以下載 iCloud 帳號來從事其他犯罪活動,然後再將它刪除。
圖 1:駭客犯罪手法示意圖。 繼續閱讀
