Вы можете считать себя опытным пользователем, который за версту чует мошенников. Но вот незадача — аферисты постоянно находят способы обмануть даже самых бдительных. На этот раз они научились использовать легитимные системы поддержки Apple для фишинга кодов двухфакторной аутентификации.
Исследователь безопасности Эрик Море подробно описал эту схему на Medium. История наглядно показывает, как социальная инженерия может посеять достаточно страха и паники, чтобы обмануть даже тех, кто знает все признаки мошенничества.
Всё началось с SMS от Apple с кодом двухфакторной аутентификации. Следом посыпались уведомления на все устройства — кто-то пытался войти в аккаунт. Потом раздался автоматический звонок от Apple с ещё одним кодом. Сообщение пришло с короткого пятизначного номера, звонок — с бесплатного номера. Оба варианта типичны для легитимных компаний, так что пока ничего подозрительного.
А вот следующий звонок поступил уже с обычного городского номера Атланты. Звонивший представился сотрудником поддержки Apple, заявил, что аккаунт Море атакуют, и пообещал открыть тикет в службе поддержки.
Во время второго разговора, который растянулся на 25 минут, Море получил настоящее подтверждение обращения в поддержку Apple на почту. Тут-то и кроется хитрость — оказывается, любой может создать тикет в поддержку Apple на чужое имя. Мошенники попросили сбросить пароль iCloud.
Затем пришла SMS со ссылкой для «закрытия тикета». Ссылка вела на фишинговый сайт, который выглядел как настоящая страница Apple (адрес был appeal-apple[точка]com). Там предлагалось ввести шестизначный код, только что полученный по SMS.
После этого на почту пришло уведомление: в iCloud вошёл неизвестный Mac mini. Голос в трубке успокоил — мол, это нормально, часть процедуры безопасности, стандартная практика.
Море тут же снова сбросил пароль, чтобы выкинуть чужое устройство из аккаунта.
Задним числом все признаки обмана очевидны: незапрошенный звонок про срочную проблему с безопасностью, обычный городской номер вместо официального, фишинговая ссылка с поддельным доменом, просьба назвать код аутентификации. Но настоящий тикет поддержки с реальным номером дела и официальными письмами с доменов apple.com добавил ровно столько правдоподобности, а лавина уведомлений о двухфакторке — ровно столько паники, чтобы схема сработала.
В этом и суть социальной инженерии. Она бьёт по эмоциям и инстинктам, которые сильнее логики и здравого смысла. Страх заставляет действовать вопреки собственным интересам.
Как защититься? Относитесь с подозрением к любому, кто звонит, пишет или шлёт письма про проблемы с безопасностью — даже если вы действительно получали настоящие оповещения и у собеседника есть реальный номер обращения. Не переходите по ссылкам, не вводите пароли и не называйте коды по просьбе таких звонящих. Не верьте успокаивающим заверениям — неважно, насколько уверенно и профессионально звучит голос.
Если переживаете за аккаунт — свяжитесь с поддержкой сами через официальный сайт или приложение. Всегда проверяйте URL и поддомены — мошенники умеют делать адреса очень похожими на настоящие.
И ещё один момент. Сама по себе двухфакторная аутентификация не гарантирует безопасность. Коды из SMS легко выманить, как видно из этой истории. По возможности используйте аппаратные ключи безопасности или биометрию с passkeys вместо одноразовых кодов.