Cybercriminelen richten zich op iPhone gebruikers van wie hun telefoons zijn gestolen met een nieuwe zwendel die is ontworpen om iCloud-inloggegevens te stelen.
Alsof het stelen van je iPhone nog niet erg genoeg was, misleiden de hackers slachtoffers van telefoondiefstal om hun Apple ID-gegevens op te geven, waardoor ze toegang krijgen tot hun persoonlijke gegevens.
iPhone-gebruikers worden getroffen door een zeer overtuigende phishing-zwendel (Afbeelding: PA)
Veel Apple-gebruikers hebben gemeld dat ze online zijn misleid door de hack, waaronder een ongelukkige Joonas Kiminki, die vertelde hoe overtuigend de phishing-zwendel kan zijn bij Hackernoon.
Nadat zijn iPhone tijdens zijn vakantie uit zijn auto was gestolen, deed Kiminki het voor de hand liggende: hij gebruikte de telefoon van zijn vrouw om de zijne te bellen. Maar zoals verwacht, werd het uitgeschakeld.
Vervolgens markeerde hij de telefoon als 'verloren' in de app Zoek mijn iPhone, die gebruikers informeert als er een telefoon is gevonden. Hij voerde een tekst in die op de telefoon moest worden weergegeven voor het geval deze ooit weer zou worden ingeschakeld, en klikte op alle selectievakjes om me een e-mail te sturen wanneer de telefoon online terugkeert.
De Zoek mijn iPhone-app helpt gebruikers verloren iOS-apparaten te lokaliseren (Afbeelding: Appel)
kedros-formaties £ 75
'Niemand had toegang tot mijn gegevens op de telefoon en aangezien deze is verbonden met mijn iCloud-account, kunnen anderen de telefoon niet zelf opnieuw activeren', zei hij.
Ik kocht later een nieuwe telefoon, maar gisteren - elf dagen nadat de telefoon was gestolen - gebeurde het meest interessante: ik kreeg een sms en een e-mail met de melding dat de telefoon was gevonden!
De authentiek ogende nep iCloud-login met niet-versleuteld webadres (Afbeelding: Hackermoon)
De sms en e-mail bevatten beide een link waarop Kiminki kon klikken om hem de locatie van zijn verloren iPhone te laten zien. De link bracht een authentiek ogend iCloud-inlogscherm naar voren.
Ik haastte me natuurlijk naar het adres op de link en begon toen mijn inloggegevens te typen, maar stopte toen plotseling. Er klopte gewoon iets niet, zei hij
Hij legde uit dat hij - omdat hij voor een websitebouwbedrijf werkt - de veelbetekenende tekenen van een hack kon herkennen die de gemiddelde persoon misschien niet zou zien.
Ik ben er vrij zeker van dat veel mensen zojuist hun Apple ID en wachtwoord zouden hebben ingetoetst en zich toen pas afvroegen waarom de login niet werkt, voegde hij eraan toe.
Het script achter de valse iCloud-login laat zien dat het niet echt van Apple is
Omdat hij kon zien dat de e-mail en sms niet authentiek waren, wist hij te voorkomen dat ook zijn inloggegevens werden gestolen.
Dus wat waren de veelbetekenende factoren van deze zogenaamde phishing-aanval? Ten eerste bracht de link Kiminki naar een website met het adres 'show-iphone-location.com' - niet erg officieel klinkend. Het was ook niet gecodeerd zoals een echte Apple-pagina zou zijn.
victoria coren mitchell young
Kiminki ging dieper en merkte op dat de e-mail ook niet van Apple was, maar van icloud.insideappleusa@gmail.com, dat niet is geregistreerd bij Apple, maar bij een bedrijf in Nassau.
Je kunt een iPhone of welk iOS-apparaat dan ook niet activeren, zolang het maar is verbonden met iemands iCloud-account, zei Kiminki
'Als je echter een telefoon steelt, kun je de misdaad perfectioneren door ook de identiteit van de arme klootzak te stelen.'
De hackers hoeven dan alleen maar in te loggen op Zoek mijn iPhone, het account los te koppelen van het apparaat en boem - ze hebben een ontgrendelde telefoon.
hackers kunnen misbruik maken van de Zoek mijn telefoon-app omdat de functie geen tweestapsverificatie gebruikt (Afbeelding: Getty)
Dit is geen volledig nieuw idee - er zijn verschillende gevallen geweest waarin deze zwendel tegen gebruikers werd gebruikt. Een soortgelijke aanval werd in april door een gebruiker op Reddit gepost .
Beveiligingsexpert Graham Cluley zei: dat hackers de Zoek mijn telefoon-app kunnen misbruiken omdat de functie, in tegenstelling tot iCloud, geen tweestapsverificatie gebruikt om te controleren of degenen die toegang hebben tot de dienst echt zijn.
Reageren op dezelfde hack die is gebruikt op een afgestudeerde informaticastudent aan de Universiteit van Waterloo , zei Cluley: 'Als er nog een inlogstap was geweest, zoals een geheime beveiligingsvraag, had de aanvaller zijn apparaten bijna niet kunnen wissen.
Gebruikers moeten hun Apple ID's en al hun webaccounts beschermen met een sterk wachtwoord en met tweestapsverificatie, indien en wanneer beschikbaar.
De beveiligingsindustrie hoopt Appel introduceert tweestapsverificatie voor de functie Zoek mijn iPhone nu verschillende van deze phishing-aanvallen online zijn gemeld.
Ondanks de zeer gesloten aard van zijn software, begint de techgigant eindelijk te beseffen dat het niet immuun is voor cyberbeveiliging kwetsbaarheden.
Vorige week stemde het bedrijf ermee in om beveiligingsonderzoekers voor het eerst toegang te geven tot zijn software.
Het bedrijf biedt nu $ 200.000 (£ 152.000) bugbounties aan - een stimuleringsprogramma dat beloningen biedt voor het ontdekken en indienen van beveiligingslekken en zwakke punten.
Collega-techbedrijven zoals Google en Microsoft bieden al geruime tijd dergelijke beloningen aan om hun online beveiligingsniveau te versterken. Hoewel, misschien om de verloren tijd in te halen, het forfaitaire bedrag van Apple de hoogste zakelijke premie ooit lijkt te zijn.
poll laden
