最近,Websense的 ThreatSeeker Network監(jiān)測到一類專門針對蘋果ID賬號持有者的網(wǎng)絡(luò)釣魚活動。
蘋果的合法用戶通過信用卡注冊、激活得到的ID賬號允許用戶在蘋果的專賣店預(yù)購自己心儀的產(chǎn)品(iPad和iPhone等移動設(shè)備),購買新的應(yīng)用程序,或是ITunes網(wǎng)絡(luò)商城里的音樂、視頻等多媒體內(nèi)容。一旦您的合法ID落入未經(jīng)授權(quán)的旁人之手,他們就會通過您的賬號,享受和您一樣的權(quán)益,訪問并享受下載、升級等服務(wù)。
黑客們會通過釣魚攻擊的方式獲取您的數(shù)字證書,并從中得到您的蘋果ID。他們給蘋果的合法用戶發(fā)送如下圖1所示的高優(yōu)先級電子郵件,并稱“您的蘋果賬號已被暫停”。
圖1,針對果粉的惡意郵件截圖
雖然這封郵件看起來有些粗糙,但附帶的鏈接卻將受害者帶到一個(gè)與蘋果網(wǎng)站風(fēng)格相近的頁面。(見圖2)
圖2,偽造的蘋果賬號認(rèn)證頁面
該惡意頁面的后臺其實(shí)是一個(gè)“開放目錄”(見圖3),沒有任何官方網(wǎng)站應(yīng)該具備的功能,卻可以群發(fā)惡意郵件,便于他們從受害者提交的信息中獲取其合法的蘋果ID。
圖3,惡意頁面的后臺——開放目錄
Websense的安全專家對郵件中的惡意URL進(jìn)行了追蹤,發(fā)現(xiàn)它實(shí)際指向的的IP地址為116.0.23.225,同時(shí),我們還查出了這個(gè)地址上掛載著的其他用于釣魚攻擊的域名和主機(jī)。(見圖4)
圖4,Websense安全專家對116.0.23.225這個(gè)IP地址進(jìn)行檢測
Websense已經(jīng)隔離并阻止了數(shù)百封這類可能偷竊用戶合法蘋果ID等信息的惡意郵件,用戶處在Websense ACE(高級分類引擎)的保護(hù)中,不必?fù)?dān)心太多。