Kilkudziesięciu piosenkarkom, aktorkom i celebrytkom rok 2014 kojarzy się z czymś koszmarnym. Do sieci trafiły bowiem wtedy najbardziej intymne, nagie zdjęcia m.in. Joanny Krupy, Scarlett Johansson, Kim Kardashian, Jennifer Lawrence, Hillary Duff, Kate Upton.
Przeczytaj też: Hakerzy-Bliźniacy rozśmieszyli rosyjskich policjantów. Myśleli...
W sumie ofiarami ataku padły 122 konta - 50 w usłudze iCloud, 72 w usłudze Gmail. Afera wybuchła, gdy włamywacz postanowił pochwalić się zagarniętymi plikami w sieci.
Najstarszy numer świata
Sprawcę przecieku udało się ustalić. To trzydziestosześciolatek z Pensylwanii. Przesłuchiwany przez policję w końcu zdradził swoją metodą. Hasła do kont iCloud nie zostały złamane, a przejęte.
Oskarżony podszywał się pod pracowników Apple lub Google wysyłał do ofiar wiadomości e-mail z prośbą o zalogowanie się pod wskazany adres.
- czytamy w piśmie procesowym.
Dlaczego metoda ataku jest ważna? Pierwsza z opcji oznaczałaby, że Apple pozwala na nieograniczoną ilość prób logowania. Złośliwe oprogramowanie stworzone przez przestępcę mogłoby w tym wypadku dopasowywać hasło miesiącami, aż w końcu znalazłoby to poprawne.
Druga metod zdejmuje sporo odpowiedzialności z Apple. Sprawca przecieku posłużył się jedną z najstarszych metod cyberprzestępców - phishingiem. Bez swego rodzaju naiwności ofiar atak by się nie powiódł.
Twoje zdjęcia też można wykraść. W 15 minut
Forbes podkreśla, że poradniki, które pozwalają na przeprowadzenie podobnego ataku są dostępne w sieci, nawet na YouTube. Skonfigurowanie narzędzia i przygotowanie odpowiedniej kampanii zajmuje... kwadrans.
Bez problemu da się też po prostu kupić złośliwe oprogramowanie, które posłuży nam do rozsyłania phishingu. Kosztuje od 200 do 800 dolarów. Ofiary otrzymają wiadomości e-mail, których nie sposób odróżnić od autentycznych. Jedynie treść może wzbudzić jakieś wątpliwości.
Jak wykraść twoje zdjęcia: krok po kroku
1. Atakujący tworzy fałszywy e-mail. Jako nadawca będzie widniał dział techniczny Google, Apple, Allegro etc.
Wysyłanie fałszywego maila Fot. YouTube
2. Otrzymasz wiadomość o zablokowaniu konta. Będzie wyglądała autentycznie. Zostaniesz poproszony o odblokowanie konta poprzez ponowne zalogowanie się do serwisu.
Fałszywy mail Fot. YouTube
3. Zalogujesz się do strony "podstawionej" przez przestępców - przekażesz im login i hasło. Twoje zdjęcia i dane będą mogły zostać pobrane.
Logowanie do fałszywego konta Apple Fot. YouTube
Atakujący nie musi samodzielnie tworzyć fałszywej strony Apple. Skorzysta z gotowej, udostępnionej przez przestępców. Za zapłatę wystarczą im... dane do twojego konta... Na poniższym filmie zobaczycie, że atak okazał się skuteczny. Fałszywa wiadomość od Apple znalazła się w skrzynce odbiorczej, nie w spamie.
Dziś przeprowadzenie takiego ataku jest nieco trudniejsze. Gmail wprowadził na przykład proste wizualne ostrzeżenie. Symbol czerwonej kłódki przy wiadomości ma nas ostrzegać, że nie została ona zaszyfrowana. To jeden z najlepszych sposobów na odróżnienie fałszywego nadawcy od prawdziwego.
Spam w Google Fot. RK
Obwiniono Apple
Po wybuchu afery część pokrzywdzonych uznało, że winę za przeciek ponoszą słabe zabezpieczenia iCloud. Okazało się jednak, że to beztroskie podejście do kwestii bezpieczeństwa należy uznać za główną przyczynę przejęcia danych.
