A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

Az Apple márkanévhez kapcsolódik a legtöbb adathalász támadás, ez már kiderült egy korábbi kutatásból. A támadók a legtöbbször a laikusokat megtévesztő domain neveket használnak az iCloud felhőszolgáltatás jelszavainak megszerzésére.

A KrebsOnSecurity dél-afrikai olvasója nemrég nagy meglepetésére egy személyre szabott üzenetet kapott, mely úgy tűnt, hogy az Apple-től érkezett. Az üzenetben nevén szólítják, és elmondják, hogy az Apple iPhone X Space Grey színű, 64 GB-os telefonját megtalálták, és egy megadott linkre kattintva tudja megnézni, hol található a készülék. Az adatok mind stimmeltek.

A megadott link azonban maps-icloud[.]com domain névhez tartozott, amely nem a legmeggyőzőbb cím, de a laikusok azt gondolhatják, valóban az almás cég felhőszolgáltatásától érkezett. (A szögletes zárójelet azért használjuk, hogy még véletlenül se tudjon senki az adathalász weboldalra kattintani.)

Az Apple valódi iCloud szolgáltatása a https://icloud.com címen található. Itt valóban lehetőségünk van elveszítettként megjelölni a telefonunkat, a szolgáltatás pedig értesítést küld, ha a telefon valahol internetre kapcsolódik, vagyis felbukkan – így visszaszerezhetjük a készülékünket.

A maps-icloud[.]com domain azonban hamis, és mellette az orosz gyökerű támadók a következő hamis weboldalakat is beregisztrálták:

apple.com-support[.]id
apple.com-findlocation[.]id
apple.com-sign[.]in
apple.com-isupport[.]in
icloud.com-site-log[.]in

Ha valaki ellátogat az üzenetben érkező adathalász weboldalak egyikére, akkor a már jól ismert forgatókönyv szerint az Apple ID-hoz tartozó felhasználónevet és jelszót kérik el az oldalra történő bejelentkezéshez.

Az áhított telefonhoz, vagyis adatokhoz azonban nem jutunk hozzá, csupán belépési adatainkat lopják el.

Hogyan értelmezzük a domain neveket?

A domain nevekkel érdemes tehát vigyázni, és mindig figyelemmel kísérni azt, hogy milyen weboldalon is járunk. Ez böngésző címsorában látszik. A domain neveket visszafelé kell olvasni, a pont (.) jelzi azt, hogy a domain milyen tartományhoz tartozik. A .hu végződésű nevek tartoznak a magyar tartományhoz.

Nézzünk egy példát!

A G DATA hivatalos magyarországi weboldala a https://virusirto.hu. Így a https://virusirto.hu/letoltes/ link valóban hozzánk tartozik (mivel a .hu végződés után már nincs másik pont).

Helytelen viszont az alábbi két webcím, ezek nem hozzánk tartoznak:

https://virusirto.hu-letoltes[.]hu/
https://virusirto.letoltes[.]hu/

Az első a hu-letoltes[.]hu (egyébként nem létező) domainhez tartozik. A második pedig a letoltes[.]hu nevű domainhez. A példákból azonban látszik, hogy elég könnyű tévedni.

Fontos szempont lehet ezért még a tanúsítvány megtekintése. Minden pénzintézet és hasonló szolgáltató úgynevezett EV (Extended Validation) SSL tanúsítványt használ. Ezért ha a böngésző címsorában a kis lakat ikonra kattintunk, látnunk kell, hogy a tanúsítvány milyen szervezethez tartozik.

A saját weboldalunknál maradva a következőt fogjuk látni:

A lakatra történő kattintás megmutatja, hogy a virusirto.hu oldal a V-Detect Antivírus Kft.-hez tartozik, amely a G DATA Software AG hivatalos magyarországi képviseletét látja el.

Egy kattinásba került tehát ellenőrizni az SSL tanúsítványt, ennyit pedig megér a biztonság!

Forrás: KrebsOnSecurity cikke