最近,Websense的 ThreatSeeker Network监测到一类专门针对苹果ID账号持有者的网络钓鱼活动。
苹果的合法用户通过信用卡注册、激活得到的ID账号允许用户在苹果的专卖店预购自己心仪的产品(iPad和iPhone等移动设备),购买新的应用程序,或是ITunes网络商城里的音乐、视频等多媒体内容。一旦您的合法ID落入未经授权的旁人之手,他们就会通过您的账号,享受和您一样的权益,访问并享受下载、升级等服务。
黑客们会通过钓鱼攻击的方式获取您的数字证书,并从中得到您的苹果ID。他们给苹果的合法用户发送如下图1所示的高优先级电子邮件,并称“您的苹果账号已被暂停”。
(图1,针对果粉的恶意邮件截图)
虽然这封邮件看起来有些粗糙,但附带的链接却将受害者带到一个与苹果网站风格相近的页面。(见图2)
(图2,伪造的苹果账号认证页面)
该恶意页面的后台其实是一个“开放目录”(见图3),没有任何官方网站应该具备的功能,却可以群发恶意邮件,便于他们从受害者提交的信息中获取其合法的苹果ID。
(图3,恶意页面的后台——开放目录)
Websense的安全专家对邮件中的恶意URL进行了追踪,发现它实际指向的的IP地址为116.0.23.225,同时,我们还查出了这个地址上挂载着的其他用于钓鱼攻击的域名和主机。(见图4)
(图4,Websense安全专家对116.0.23.225这个IP地址进行检测)
Websense已经隔离并阻止了数百封这类可能偷窃用户合法苹果ID等信息的恶意邮件,用户处在Websense ACE(高级分类引擎)的保护中,不必担心太多。