Злоумышленники украли у российских пользователей Айфонов 3 млн рублей за месяц.
Они предлагали скачать и установить моды для «Телеграма», подключившись к чужому Apple ID. Как только человек связывал свое устройство с подставным аккаунтом, его блокировали и от имени поддержки Apple требовали деньги за разблокировку. Расскажу подробнее об этой и других схемах, а также о том, как не попасться.
Предлагают авторизоваться в чужом Apple ID
Владельцам Айфонов из-за санкций приходится самим искать способы установить приложения, которых нет в App Store. Это могут быть игры, приложения банков или недоступные в регионе сервисы. Добросовестные компании придумали, как обойти запреты, — например, они дают инструкцию клиентам, как скачать программу через смену Apple ID. Но этим же способом пользуются и злоумышленники.
Мошенники пишут в мессенджере инструкцию: выйдите из своего Apple ID, войдите в чужой и загрузите там приложение — якобы оно есть в профиле. Обещают, что это приложение сохранится на устройстве после возвращения в свой аккаунт.
На самом деле они дают логин и пароль от подставного аккаунта, а когда человек входит в него — блокируют устройство через приложение «Локатор». И начинают требовать деньги за разблокировку от имени техподдержки Apple или просто угрожают превратить телефон в «кирпич». Если заплатить, доступ все равно не вернут и придумают другие поводы выманить побольше денег.
Когда мошенники понимают, что новых платежей не будет, они исчезают. Человек остается без денег и телефона — разблокировать его не получится даже через сервисный центр.
Как защититься. Не входите в чужой Apple ID, если сомневаетесь в его владельце.
Если вы хотите установить приложение, которое удалили из App Store из-за санкций, зайдите на официальный сайт компании-разработчика и найдите инструкцию, как это сделать.
Просят сообщить код от iCloud
Мошенник звонит владельцу Айфона и просит помочь. Говорит, что раньше номер телефона владельца принадлежал ему, и этот номер привязан к его iCloud. Теперь он не может удалить iCloud, чтобы продать телефон, или зайти в него, чтобы скопировать данные, потому что код для входа приходит на старый номер.
Мошенник просит владельца сказать код из смс, чтобы быстро решить проблему. Если владелец назовет цифры, его аккаунт Apple уведут.
Послушайте пример такого развода из фрод-рулетки Т-Банка «Ловушка для мошенников». Сервис анонимно переадресует звонки злоумышленников зарегистрированным участникам, чтобы они как можно дольше удерживали аферистов в диалоге. Чем дольше те висят на линии, тем меньше людей смогут обзвонить и меньше денег украсть.
Предлагают установить фишинговое приложение
Мошенники создают поддельные мобильные приложения, чаще всего под видом бесплатных VPN-сервисов. Ссылки на них распространяют через мессенджеры, соцсети и сайты. Для установки предлагают использовать TestFlight — официальный сервис Apple для тестирования приложений, который используют и добросовестные компании.
При запуске фишинговое приложение устанавливает специальный профиль конфигураций — системную настройку для работы VPN. Через него на Айфоне появляется окно с требованием ввести пароль от Apple ID якобы для подключения к VPN. Это окно не закрыть: оно висит поверх всех приложений, появляется при разблокировке и даже остается на заблокированном экране. Перезагрузка не помогает.
Если ввести пароль, он станет известен мошенникам. С ним они войдут в iCloud с другого устройства, через приложение «Локатор» заблокируют Айфон и начнут вымогать деньги за разблокировку.
Как защититься. Официальные разработчики редко используют сервис TestFlight для массовых клиентов. Не устанавливайте через него приложения по ссылкам от незнакомцев и не вводите пароль от Apple ID в сторонних приложениях. Система запрашивает его только в настройках телефона или App Store.
Если появилось странное окно, удалите вредоносную конфигурацию. Для этого зайдите в «Настройки» → «Основные» → «VPN и управление устройством», найдите подозрительную конфигурацию и удалите ее. Само приложение, после установки которого появилось окно, тоже удалите.
Загружают фальшивые приложения в App Store
Мошенники создают поддельные приложения, которые названием, цветовой гаммой и внешним видом имитируют официальные аппы банков, брокеров, магазинов, маркетплейсов. Эти подделки публикуют в App Store и TestFlight.
У таких программ нет доступов к устройству, они не могут заблокировать телефон и не содержат вредоносного кода. Их цель — собрать данные, которые человек введет.
Позже мошенники используют эту информацию для других атак. Например, если пользователь хотел оставить заявку на брокерский счет, ему позвонят и предложат «выгодные» инвестиции.
Еще такие приложения иногда используют как реферальные ловушки. Пользователь оформляет карту или кредит, указывает данные — а бонус за приглашение получает мошенник, который создал приложение.
Как защититься. Скачивайте приложения только по прямым ссылкам с официальных сайтов компаний.
Проверяйте приложение и разработчика: фальшивые программы занимают мало места, у них мало или вообще нет отзывов, а у разработчика нет других приложений. Если сомневаетесь, что перед вами оригинальное приложение, найдите контакты техподдержки на официальном сайте компании и свяжитесь с ней.
Рассылают фишинговые письма от имени Apple
Мошенники рассылают письма, которые копируют официальные уведомления от Apple. Внутри пугающий текст: аккаунт якобы заблокировали, нужно срочно подтвердить личность или поменять пароль. Цель — заставить человека запаниковать и перейти по ссылке.
Из письма человек попадает на фальшивую страницу, которая выглядит как официальный сайт Apple. Там просят ввести логин и пароль от Apple ID, а следом — код двухфакторной аутентификации из смс или пуш-уведомления.
Когда человек вводит код, доступ к аккаунту переходит к мошенникам.
Как защититься. Если нужно проверить аккаунт или сменить пароль, откройте браузер и зайдите вручную на сайт Apple.
Проверяйте адрес отправителя: официальные письма от Apple приходят с домена @apple.com. Мошенники не могут его подменить, поэтому создают похожие адреса, например с доменом @support_apple.ru или другими символами.
Еще внимательно смотрите на адресную строку в браузере. Фишинговые сайты копируют дизайн до мелочей, но повторить официальный веб-адрес они не могут. Если написано что-то вроде appl-id.ru вместо apple.com — это обман.
Если сталкивались с мошенниками, поделитесь своей историей с другими читателями
