ИБ-специалист, скрывающийся в сети под ником Bo0oM, раскрыл схему, на которой зарабатывают те, кто крадёт смартфоны, разблокирует их и перепродаёт. Он даже установил предполагаемую личность владельца одного из сервисов для извлечения дохода от такой деятельности.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Принято считать, что от украденного или найденного айфона мало толка. Воспользоваться им не выйдет, бросить к заводским настройкам, не зная пароль пользователя, не получится. Такое устройство можно лишь сдать на запчасти намного дешевле его реальной стоимости. С Android-смартфонами проще — как правило, они очень легко сбрасываются или перепрошиваются, после чего их можно продать по рыночной цене.

Мошенники нашли выход: они крадут iPhone и отправляют его владельцу ссылку, по которой якобы можно увидеть местоположение устройства. Эта ссылка фишинговая, и с её помощью мошенники крадут логин и пароль для того, чтобы разблокировать смартфон, отвязать его от сервиса «Локатор», сбросить и перепродать. В некоторых случая жертве может позвонить человек, представиться сотрудником сервисного центра, и разными способами попытаться выпытать логин и пароль от Apple ID. 

C развитием технологий защиты всегда развивается мошенничество, поэтому выход у воров был таков — отправить фишинг на контактный номер жертвы. А что? Удобно. Жертва свои контакты оставляет сама, тебе остается лишь представиться компанией Apple и заставить ввести пользователя данные от iСloud.

Судя по сообщениям в соцсетях, жертв такой схемы очень много, причём мошенники не ограничиваются кражей и перепродажей смартфона. Они также блокируют другие устройства пользователя, привязанные к его Apple ID, просят выкуп за разблокировку и получают доступ к различным сервисам, в том числе банковским кабинетам, откуда могут вывести деньги.



Bo0oM выяснил, что извлечение дохода от краденных айфонов поставлено на поток с помощью специальных сервисов (один из них — Phoenix). Злоумышленнику не обязательно обладать хакерскими навыками, за деньги ему предоставляется удобная панель, с помощью которой он может общаться со своими жертвами (например, по SMS). Аренда сервиса стоит 150-300 долларов в месяц, а за отправку ворам данных для разблокировки каждого смартфона можно получать по 100-150 долларов.

Когда пользователь Phoenix добавляет новый логин и пароль, эти данные через специально оставленный  бэкдор отправляются в Telegram владельцу сервиса, то есть он не только зарабатывает на его аренде, но также имеет доступ к любым данным, которые добывают его клиенты.

Bo0oM обнаружил несколько багов и уязвимостей и через сложную цепочку поиска имён, логинов, email-адресов, телефонных номеров и взлома аккаунтов в электронной почте, платёжных системах и других сервисах вычислил предполагаемого администратора Phoenix. Им оказался некий Зейнал Мамедов, который работает на Царицинском рынке в Москве и продаёт там и через Avito различные устройства, в том числе iPhone и iPad.



Bo0oM дал своим коллегам и единомышленникам несколько рекомендаций о том, как можно вычислить владельцев других сервисов, автоматизирующих заработок на ворованных смартфонов. Он рассказал, какими сайтами и скриптами можно пользоваться, чтобы выявлять жертв краж и фишинговые сайты, на которые их перенаправляют, чтобы увести пароль от аккаунта Apple. Конечно, для решения этой проблемы нужен более комплексный подход, но можно надеяться, что инициатива Bo0oM подпортит жизнь мошенникам.