Phisher gehen auf Apple ID-Fang

Originalartikel von Paul Pajares, Fraud Analyst

Phisher scheinen ein neues Ziel gefunden zu haben, nämlich Apple IDs. Die Sicherheitsforscher von Trend Micro stellten in der letzten Zeit einen steilen Anstieg der Anzahl von Phishing-Sites fest, die versuchen Apple IDs zu stehlen.

Eine nähere Analyse der URLs ergab ein einheitliches Muster bei den URLs dieser Phishing-Sites. Sie liegen in einem Verzeichnis namens ~flight, und beim Versuch, auf dieses Verzeichnis zuzugreifen, wird die folgende Seite geladen:

Die Websites sind infiziert aber nicht gehackt (der ursprüngliche Inhalt wurde nicht modifiziert). Doch möglicherweise ändert sich das, wenn die Seite noch länger kompromittiert bleibt.

Das Verzeichnis enthält Seiten, die die Apple-ID Einwahlseite ziemlich gut nachahmen:

Die Sicherheitsforscher fanden 110 infizierte Websites, die alle unter der IP-Adresse 70.86.13.17 gehostet werden, die bei einem ISP in der Umgebung von Houston, Texas, registriert sind. Kaum eine dieser Sites ist bislang bereinigt worden.

Das Diagramm zeigt den Anstieg in der Anzahl der Phishing-Sites, die auf den Diebstahl von Apple IDs zielen. Die Angriffe sind nicht nur gegen US-amerikanische Nutzer gerichtet, sondern auch gegen britische und französische. Einige Versionen fragen neben den Einwahldaten der Apple-Nutzer auch deren Rechnungsadressen und weitere persönliche Informationen ab. Der Nutzer erhält die Nachricht, dass sein Zugang wiederhergestellt wurde, doch die Informationen sind natürlich geklaut. Das folgende Beispiel zeigt eine solche Seite, die Kreditkartendaten abfragt:

Spam-Nachrichten können den Angriff einleiten. Sie informieren das potenzielle Opfer darüber, dass sein Konto abläuft und er seine Zugangsinformationen einem „Audit“ unterziehen muss. Der Link dahin wird mitgeliefert.

Ein Indiz für den Nutzer, dass die Seite nicht echt ist, stellt das Fehlen eines Hinweises dar, dass er sich auf einer sicheren Website befindet (etwa das Vorhängeschloss und “Apple Inc. [US]” in der Symbolleiste). Die echte Apple-Site sieht folgendermaßen aus:

Der Screenshot stammt aus einem Chrome-Browser, doch in IE und Firefox sind die Hinweise ähnlich.

Zudem sollten Nutzer auch bei Nachrichten darauf achten, dass die Domänen, woher die Mail kommt, wohin die Links zeigen usw., zusammenpassen. Das Erscheinungsbild der E-Mail allein lässt nicht auf deren Legitimität schließen. Auch sollten die Nutzer die kürzlich von Apple eingeführte Zwei-Faktor-Authentifizierung aktivieren. Zusätzliche Informationen für Nutzer mobiler Geräte, wie bösartige mobile URLs sich vermeiden lassen, liefert das E-Book „Avoiding Bad URLs in the Mobile Web“.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*